Hjelp:Tofaktorautentisering

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Two-factor authentication and the translation is 80% complete.
Shortcut:
H:2FA
Denne siden forklarer tofaktorautentisering på Wikimedia Foundations wikier. For dokumentasjon for utvidelsen som legger til denne funksjonaliteten, se mw:Special:MyLanguage/Extension:OATHAuth.

Wikimedias implementasjon av tofaktorautentisering (engelsk: two-factor authentication, 2FA) er en måte å styrke sikkerheten til kontoen din på. Om du slår på tofaktorautentisering blir du spurt om en sekssifret engangskode hver gang du logger inn, i tillegg til passordet ditt. Denne koden kommer fra en app på smarttelefonen din eller en annen enhet. For å kunne logge inn må du vite passordet og ha enheten som autentiserer tilgjengelig for å generere koden.

Påvirkede kontoer

Tofaktorautentisering hos Wikimedia er for øyeblikket eksperimentelt og valgfritt (med noen unntak). For å få tilgang må man ha rettigheten $oauth-enable, som for tiden testes ut for administratorer (og brukere med administrator-lignende rettigheter, som grensesnittadministratorer), byråkrater, IP-kontrollører, sensorer, forvaltere, redigeringsfilterredaktører og den globale gruppa OATH-testers.

Alle LDAP-kontoer på Wikitech (kontoer for utviklere) kan også få tofaktorautentisering. Disse kotnoene er ikke en del av det globale kontosystemet.

Brukergrupper som kreves å bruke 2FA

Slå på tofaktorautentisering

  • Du må ha (oathauth-enable)-rettigheten på kontoen din (som standard tilgjengelig for administratorer, byråkrater, sensorer, IP-kontrollører og andre priveligierte brukergrupper)
  • Ha eller installer en tidsbasert engangspassordklient (TOTP-klient). For folk flest vil dette være en app på en smarttelefon eller et nettbrett. Noen vanlige alternativer inkluderer:
    • Apper og programmer basert på åpen kildekode: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
    • Apper og programmer basert på lukket kildekode: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
    • Liste over diverse OTP-programmer og apper på engelsk Wikipedia
    • Du kan også bruke en skrivebordsklient, som for eksempel OATH Toolkit (Linux, macOS via Homebrew) eller WinAuth (Windows). Merk at hvis du bruker dette programmet på PC-en du også vanligvis logger deg inn på Wikipedia med, så beskytter ikke denne fremgangsmåten deg i tilfellet hvor en angriper får tilgang til datamaskinen din.
    • Passordmanagarere som 1Password, Bitwarden, og KeePass pleier også ha støtte for TOTP, enten direkte eller gjennom en plugin. De samme begrensningene gjelder ved bruk av disse som nevnt tidligere, men de kan være verdt å vurdere hvis du allerede bruker et av disse programmene til andre ting.
      Oversikt over brukerdatainnstillingene, hvor man kan skru på tofaktorautentisering
  • Gå til Special:OATH på prosjektet du har en av de relevante rettighetene på (denne lenken er også tilgjengelig fra innstillingene). (For de fleste brukere, er dette ikke her på Meta-wiki.)
  • Special:OATH viser deg en QR-kode med navnet på tofaktorkontoen din og privatnøkkelen til tofaktorautentiseringen din. Dette trenger du for å parre klienten din med serveren.
  • Skan QR-koden med TOTP-klienten din, eller skriv inn navnet på tofaktorkontoen din og den andre nøkkelinformasjonen manuelt.
  • Skriv deretter inn autentiseringskoden fra TOTP-klienten din i OATH-menyen for å fullføre aktiveringen.

Innlogging

Innloggingsskjermen
  • Oppgi brukernavn og passord, samme som før.
  • Etter dette, oppgi en engangskode fra TOTP-klienten din (disse endrer seg regelmessig).

Hold meg innlogget

Hvis du velger dette da du logger inn, trenger du ikke å oppgi en ny kode så lenge du bruker samme nettleser. Hvis du logger ut eller sletter informasjonskapslene dine, kommer du da til å trenge å oppgi en ny kode når du logger deg inn igjen.

Noen sikkerhetssensitive handlinger, som å endre e-postadressen din eller passordet ditt, kan kreve at du må oppgi en ny kode når du autensiterer deg på nytt, til og med hvis du har valgt å holde deg selv innlogget.

API-tilgang

Tofaktorautentisering er fortsatt ikke i bruk med OAuth eller botpassord for å logge inn i API-et.

Du kan bruke OAuth eller botpassord for å begrense API-sesjonene til spesifikke handlinger, mens tofaktorautentisering beskytter din fullstendige tilgang. Merk at OAuth og botpassord ikke kan brukes for å logge inn til nettsiden, bare til API-et.

For eksempel støtter ikke verktøy som AutoWikiBrowser (AWB) tofaktorautentisering ennå, men du kan bruke botpassord. Du kan slå opp videre informasjon om hvordan du konfigurerer dette.

Slå av tofaktorautentisering

Avmelding
  • Dra til Special:OATH eller innstillingene dine. Hvis du ikke lenger er medlem av en brukergruppe som har rettigheter til å skru 2FA på, kan du fortsatt skru det av via Special:OATH.
  • siden for å skru av tofaktorautentisering, bruk enheten din for å generere en kode for å fullføre prosessen.

Engangskoder

Eksempler på OATH-engangskoder

When enrolling in two-factor authentication, you will be provided with a list of ten one-time recovery codes. Please print those codes and store them in a safe place, as you may need to use them in case you lose access to your 2FA device. It is important to note that each of these codes is single use; it may only ever be used once and then expires. After using one, you can scratch it through with a pen or otherwise mark that the code has been used. To generate a new set of codes, you will need to disable and re-enable two-factor authentication.

Slå av tofaktorautentisering uten en autentiseringsenhet

Dette kan kreve to engangskoder: én for å logge inn, og en til for å slå av. Om du noen gang trenger å bruke engangskodene anbefales det å slå av og slå på igjen tofaktorautentisering for å få et nytt sett engangskoder.

Recovering from a lost or broken authentication device

If you have an existing 2FA device which has simply stopped generating the correct codes, check that its clock is reasonably accurate. Time-based OTP on our wikis has been known to fail with 2 minutes difference.

You will need access to the recovery codes that you were provided when enrolling in order to un-enroll from two-factor authentication. It will require you to use up to two recovery codes to accomplish this:

  • You need to be logged in. If you are not already logged in, this will require use of a recovery code.
  • Visit Special:OATH and use a different recovery code to disable two-factor authentication.

If you don't have enough recovery codes, you may contact Trust and Safety at ca(_AT_)wikimedia.org to request removal of 2FA from your account (please send an email using your registered email address of your wiki account). You should also create a task on Phabricator if you still have access to it. Please note, 2FA removal by staff is not always granted.

See wikitech:Password and 2FA reset#For users for instructions on requesting 2FA removal for your Developer account.

Web Authentication Method

Please note, most of the directions on this page are specific to the TOTP method. The WebAuthn method is more experimental and currently has no recovery options (cf. related developer task).

WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).

Se også