Pomoc:Uwierzytelnianie dwuskładnikowe
Implementacja uwierzytelnienia dwuskładnikowego (2FA) zastosowana przez Wikimedia jest sposobem na poprawienie bezpieczeństwa twojego konta. Jeśli je włączysz, za każdym razem, oprócz hasła będziesz proszony o podanie jednorazowego, sześciocyfrowego kodu uwierzytelniającego. Ten kod będzie wygenerowany przez aplikację na twoim smartfonie lub inne urządzenie uwierzytelniające. Dzięki temu do zalogowania musisz znać swoje hasło oraz posiadać urządzenie uwierzytelniające do wygenerowania kodu.
Konta, których to dotyczy
Uwierzytelnianie dwuskładnikowe jest obecnie testowane i opcjonalne (z pewnymi wyjątkami). Używanie go wymaga uprawnienia (oathauth-enable)
. Uprawnienie to posiadają obecnie administratorzy (oraz użytkownicy z podobnymi uprawnieniami, czyli administratorzy interfejsu), biurokraci, checkuserzy, rewizorzy, stewardzi, operatorzy filtru nadużyć i należący grupy globalnej OATH-tester.
Kwalifikują się również wszystkie konta LDAP z Wikitech, znane też jako konta deweloperskie. Nie są to konta uniwersalne.
Grupy obowiązkowo używające 2FA
Włączanie uwierzytelniania dwuskładnikowego
- Posiadać uprawnienie
(oathauth-enable)
(domyślnie posiadają je administratorzy, biurokraci, rewizorzy, checkuserzy oraz inne uprzywilejowane grupy użytkowników) - Mieć lub zainstalować klienta Time-based One-time Password Algorithm (TOTP). Dla większości użytkowników, będzie to aplikacja na telefon lub tablet. Najczęściej polecanymi aplikacjami są:
- O otwartym kodzie źródłowym: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox, Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows).
- O zamkniętym kodzie źródłowym: Authy (Android, iOS), Google Authenticator (Android iOS).
- Ogólne porównanie wielu popularnych aplikacji OTP, które mogą być używane jako klient TOTP do uwierzytelniania dwuskładnikowego (artykuł na angielskiej Wikipedii).
- Możesz również użyć komputerowego klienta, takiego jak OATH Toolkit (Linux, macOS za pośrednictwem Homebrew), lub WinAuth (Windows). Pamiętaj jednak, że jeżeli zalogujesz się z komputera używanego do generowania kodów TOTP, twojego konto nie będzie chronione, gdy atakujący uzyska dostęp do twojego komputera.
- Menadżery haseł takie jak 1Password, Bitwarden lub KeePass również wspierają/posiadają wtyczki do kodów TOTP. Mają one takie same ograniczenie jak to wspomniane powyżej, ale mogą być warte uwagi, jeśli już wykorzystujesz je do innych celów.
- Wejdź na stronę Special:OATH w projekcie, w którym posiadasz jedno z powyższych uprawnień (ten link jest także dostępny w twoich preferencjach). (Dla większości użytkowników, nie będzie to jednak tutaj, na meta-wiki.)
- Strona Special:OATH dostarczy ci Kod QR zawierający twoją nazwę konta oraz klucz poufny uwierzytelnienia dwuskładnikowego. Są one potrzebne do sparowania twojego klienta z serwerem.
- Zeskanuj kod QR twoim klientem TOTP albo wprowadź do niego nazwę konta i klucz.
- Wprowadź kod uwierzytelniający z twojego klienta TOTP na ekranie OATH, aby dokończyć włączanie.
Logowanie
- Podaj twoją nazwę użytkownika i hasło jak zawsze.
- Wprowadź jednorazowy sześciocyfrowy kod podany przez twojego klienta TOTP. Zauważ, że ten kod zmienia się co około 30 sekund.
Pozostaw mnie zalogowanym
Jeśli wybierzesz tę opcję podczas logowania, zwyczajnie nie będziesz musiał podawać kodu uwierzytelniającego używając tej samej przeglądarki internetowej. Działania takie jak wylogowanie się czy usunięcie „ciasteczek” w przeglądarce spowodują żądanie wprowadzenia kodu podczas następnego logowania.
Niektóre wrażliwe działania, takie jak zmiana adresu email czy hasła, mogą spowodować żądanie od ciebie ponownego uwierzytelnienia kodem, nawet jeśli zaznaczyłeś opcję „pozostaw mnie zalogowanym”.
Dostęp API
Uwierzytelnianie dwuskładnikowe nie jest wykorzystywane podczas używania OAuth lub haseł botów do logowania się za pomocą API.
Możesz używać OAuth lub haseł botów do ograniczenia sesji API do określonych działań, podczas gdy nadal będziesz używał uwierzytelniania dwuskładnikowego do ochrony pełnego dostępu. Zwróć uwagę na to, że OAuth i hasła botów nie mogą być użyte do logowania się interaktywnego, a jedynie do logowania się za pomocą API.
Na przykład AutoWikiBrowser (AWB) nie wspiera jeszcze uwierzytelniania dwuskładnikowego, ale może używać haseł bota. W celu uzyskania informacji jak to skonfigurować, zobacz stronę Wikipedia:Using AWB with 2FA.
Wyłączanie uwierzytelniania dwuskładnikowego
- Wejdź na stronę Special:OATH albo preferencji. Jeśli nie jesteś już w jednej z grup uprawnionych do włączania uwierzytelniania dwuskładnikowego, nadal możesz je wyłączyć przez stronę Special:OATH.
- Na stronie wyłączania uwierzytelniania dwuskładnikowego użyj twojego urządzenia uwierzytelniającego, aby wygenerować kod potrzebny do dokończenia procesu.
Kody jednorazowe
Podczas włączania uwierzytelniania dwuskładnikowego, dostaniesz zestaw dziesięciu zapasowych kodów jednorazowych. Wydrukuje je i przechowuj w bezpiecznym miejscu, ponieważ mogą być ci potrzebne w przypadku utraty dostępu do urządzenia uwierzytelniającego. Ważne jest, aby zauważyć, że są to kody jednorazowe, po użyciu ich ważność wygasa. Po użyciu danego kodu, możesz go zamazać długopisem lub zaznaczyć w inny sposób, że został zużyty. Aby wygenerować nowy zestaw, musisz wyłączyć i ponownie włączyć uwierzytelnianie dwuskładnikowe.
Wyłączanie uwierzytelniania dwuskładnikowego bez urządzenia uwierzytelniającego
To może wymagać dwóch kodów zapasowych: jednego do zalogowania się i drugiego do wyłączenia. Jeśli kiedykolwiek musiałbyś użyć któregoś z kodów zapasowych, zaleca się, aby najszybciej jak to tylko możliwe wyłączyć i ponownie włączyć uwierzytelnianie dwuskładnikowe w celu wygenerowania nowego zestawu kodów.
Odzyskiwanie konta w przypadku zgubienia lub uszkodzenia urządzenia uwierzytelniającego
Jeśli posiadasz urządzenie uwierzytelniające, które po prostu przestało generować prawidłowe kody, sprawdź czy jego zegar jest w miarę dokładnie ustawiony. Wiadomo, że TOTP na naszych wiki przestaje działać przy 2 minutach różnicy.
Będziesz potrzebował kodów zapasowych wygenerowanych podczas włączania uwierzytelniania dwuskładnikowego, aby je wyłączyć. Będą potrzebne maksymalnie dwa kody, aby to osiągnąć:
- Musisz być zalogowany. Jeśli nie jesteś, będzie to wymagało użycia kodu zapasowego.
- Wejdź na stronę Special:OATH i użyj innego kodu zapasowego, aby wyłączyć uwierzytelnianie dwuskładnikowe.
Jeśli nie masz wystarczającej ilości kodów zapasowych, możesz skontaktować się z zespołem Trust and Safety pod adresem cawikimedia.org, aby poprosić o wyłączenie uwierzytelniania dwuskładnikowego dla twojego konta (prosimy wysłać e-mail z adresu, który jest przypisany do twojego konta na wiki). Powinieneś także utworzyć zadanie („task”) na Phabricatorze, jeżeli nadal masz do niego dostęp. Miej na uwadze, że prośby o wyłączenie 2FA przez personel nie zawsze są rozpatrywane pozytywnie.
Zobacz stronę wikitech:Password and 2FA reset#For users, aby uzyskać instrukcję wyłączania 2FA dla konta deweloperskiego.
Uwierzytelnianie metodą WebAuthn
Pamiętaj, że większość wskazówek na tej stronie dotyczy metody TOTP. Metoda WebAuthn jest jeszcze w fazie eksperymentalnej i obecnie nie ma możliwości odzyskiwania dostępu do konta (patrz phab:T244348). WebAuthn ma znany problem polegający na tym, że w przyszłości musisz logować się do tego samego projektu, w którym ta metoda została uruchomiona po raz pierwszy (zadanie na Phabricatorze).
Zobacz też
- Artykuł na Wikipedii oraz element Wikidanych na temat koncepcji uwierzytelniania wielopoziomowego
- Znane błędy i zasugerowane poprawki uwierzytelniania dwuskładnikowego na Wikimedii śledzone w Phabricatorze
- OATHAuth — rozszerzenie oprogramowania MediaWiki dodające tę funkcję
- Wikimedia Security Team/Two-factor Authentication for CentralAuth wikis
- Pomoc:Uwierzytelnianie dwuskładnikowe na MediaWiki.org