Pomoc:Weryfikacja dwuetapowa

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page Help:Two-factor authentication and the translation is 100% complete.

Other languages:
Bahasa Indonesia • ‎Deutsch • ‎English • ‎Esperanto • ‎Nederlands • ‎Tiếng Việt • ‎Türkçe • ‎asturianu • ‎dansk • ‎español • ‎français • ‎galego • ‎italiano • ‎norsk bokmål • ‎polski • ‎português • ‎português do Brasil • ‎română • ‎беларуская (тарашкевіца)‎ • ‎русский • ‎سنڌي • ‎فارسی • ‎नेपाली • ‎हिन्दी • ‎বাংলা • ‎മലയാളം • ‎ไทย • ‎ქართული • ‎中文 • ‎日本語
Strony pomocy Pomoc dotycząca weryfikacji dwuetapowej
Ta strona objaśnia weryfikację dwuetapową na wiki prowadzonych przez Wikimedia Foundation. Po dokumentację rozszerzenia dodającego te funkcję zobacz mw:Wikimedia Security Team/Two-factor Authentication for CentralAuth wikis.

Implementacja weryfikacji dwuetapowej (2FA) zastosowana przez Wikimedia jest sposobem na poprawienie bezpieczeństwa swojego konta. Jeśli włączysz, będziesz proszony o podanie jednorazowego, sześciocyfrowego kodu uwierzytelniającego wygenerowanego na twoim smartfonie lub innym urządzeniu uwierzytelniającym za każdym razem po podaniu hasła do konta. Dzięki temu do zalogowania musisz znać swoje hasło i posiadać urządzenie uwierzytelniające, aby wygenerować kod.

Konta, których to dotyczy

Weryfikacja dwuetapowa na Wikimedia jest aktualnie eksperymentalna i opcjonalna. Wprowadzenie wymaga dostępu do (oathauth-enable), na produkcji testowane przez administratorów (i użytkowników z podobnymi uprawnieniami, takich jak administratorzy interfejsu), biurokratów, checkuserów, rewizorów, stewardów, zarządzający filtrami nadużyć oraz globalną grupę OATH-testerów.

Konta LDAP z Wikitech również są objęte.

Grupy obowiązkowo używające 2FA

Włączanie weryfikacji dwuetapowej

  • Posiadać uprawnienie (oathauth-enable)
  • Mieć lub zainstalować klienta Time-based One-time Password Algorithm (TOTP). Dla większości użytkowników, będzie to aplikacja na telefon lub tablet. Najczęściej polecanymi aplikacjami są:
    • O otwartym kodzie źródłowym: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS)
    • O zamkniętym kodzie źródłowym: Authy (Android, iOS, Windows, Chrome/rozszerzenie do Chromium), Google Authenticator (Android iOS)
    • [klienty porównane na angielskiej Wikipedii]
    • Możesz również użyć komputerowego klienta, takiego jak OATH Toolkit (Linux, macOS za pośrednictwem Homebrew), lub WinAuth (Windows). Pamiętaj, że jeżeli zalogujesz się z komputera używanego do generowania kodów TOTP, podejście to nie będzie chroniło twojego konta gdy atakujący uzyska dostęp do twojego komputera.
    • Menadżery haseł pokroju 1Password, LastPass lub KeePass również wspierają/posiadają wtyczki do kodów TOTP. Powoduje to te same ograniczenia co powyżej, lecz może być warte uwagi gdy już wykorzystujesz je do innych celów.
Podgląd sekcji w preferencjach, w której można włączyć weryfikację dwuetapową.
  • Idź do Special:OATH na projekcie, na którym posiadasz jedno z powyższych uprawnień (link będzie także dostępny z twojej strony preferencji). (Dla większości użytkowników, nie będzie to tutaj, na meta-wiki.)
  • Strona Special:OATH dostarczy ci Kod QR zawierający twoją nazwę konta i klucz poufny weryfikacji dwuetapowej. Są one potrzebne do sparowania twojego klienta z serwerem.
  • Zeskanuj kod QR swoim klientem TOTP albo wprowadź nazwę konta i klucz do niego.
  • Wprowadź kod uwierzytelniający ze swojego klienta TOTP na ekran OATH, aby dokończyć włączanie.
Warning UWAGA: Dostaniesz także zestaw 10 zapasowych kodów jednorazowych. Przechowuj kopię tych kodów bezpiecznie. Jeśli zgubisz lub będziesz miał problem ze swoim klientem TOTP, nie zalogujesz się na swoje konto bez ich użycia.

Logowanie

Ekran logowania
  • Podaj swój login i hasło jak przedtem.
  • Wprowadź jednorazowy sześciocyfrowy kod ze swojego klienta TOTP. Zauważ, że ten kod zmienia się co każde 30 sekund.

Pozostaw mnie zalogowanym

Jeśli wybierzesz tą opcję podczas logowania, zwyczajnie nie będziesz musiał podawać kodu uwierzytelniającego używając tej samej przeglądarki internetowej. Akcje takie jak wylogowanie się czy wyczyszczenie pamięci podręcznej przeglądarki spowodują wymaganie kodu przy następnym logowaniu.

Niektóre wrażliwe akcje, jak zmiana adresu email czy hasła, mogą wymagać od ciebie ponownego uwierzytelnienia kodem, nawet jeśli zaznaczyłeś opcję pozostaw mnie zalogowanym.

Dostęp API

Weryfikacja dwuetapowa nie jest wykorzystywana przy używaniu OAuth albo haseł botów do zalogowania przez API.

Możesz użyć Oauth lub haseł botów do ograniczenia sesji API do specyficznych akcji, podczas gdy będziesz nadal używał weryfikacji dwuetapowej do ochrony pełnego dostępu. Zauważ, że OAuth i hasła botów nie mogą być użyte do zalogowania interaktywnego na stronę internetową. Mogą być one użyte tylko przez API.

Dla przykładu AutoWikiBrowser (AWB) nie wspiera jeszcze weryfikacji dwuetapowej, ale może użyć hasła bota.

Wyłączanie weryfikacji dwuetapowej

Deaktywacja
Warning

Jeżeli już masz włączoną weryfikację dwuetapową, usunięcie uprawnienia które daje ci możliwość jej ustawienia NIE wyłączy weryfikacji dwuetapowej. Musisz wykonać poniższe instrukcje aby ją wyłączyć.

  • Odwiedź Special:OATH albo preferences. Jeśli nie jesteś już w jednej z grup uprawnionych do włączenia weryfikacji dwuetapowej, nadal możesz ją wyłączyć przez Special:OATH.
  • Na stronie wyłączania weryfikacji dwuetapowej, użyj swojego urządzenia uwierzytelniającego, aby wygenerować kod do dokończenia procesu.

Kody jednorazowe

Przykładowe zapasowe kody jednorazowe OATH

Podczas włączania weryfikacji dwuetapowej, dostaniesz zestaw dziesięciu zapasowych jednorazowych kodów. Wydrukuje je i przechowuj w bezpiecznym miejscu, ponieważ mogą być ci potrzebne w przypadku utraty dostępu do urządzenia uwierzytelniającego. Ważne jest, żeby zauważyć, że są to kody jednorazowe, po użyciu wygasają. Po użyciu danego z nich, możesz go zamazać długopisem lub zaznaczyć w inny sposób, że został użyty. Aby wygenerować nowy zestaw, musisz wyłączyć i ponownie włączyć weryfikację dwuetapową.

Wyłączanie weryfikacji dwuetapowej bez urządzenia uwierzytelniającego

To może wymagać dwóch kodów zapasowych: jednego do zalogowania się i drugiego do wyłączenia. Jeśli kiedykolwiek musiałbyś użyć jakiegokolwiek z kodów zapasowych, jest zalecane, aby wyłączyć i ponownie włączyć weryfikację dwuetapową najszybciej jak to tylko możliwe, aby wygenerować nowy zestaw kodów.

Odzyskiwanie konta w przypadku zgubienia lub uszkodzenia urządzenia uwierzytelniającego

Jeżeli posiadasz istniejące urządzenie uwierzytelniające które przestało generować prawidłowe kody, sprawdź czy jego zegar jest dokładnie ustawiony. Wiadomo, że OTP na naszych wiki przestaje działać przy 2 minutach różnicy.

Będziesz potrzebował kodów zapasowych wygenerowanych przy włączaniu weryfikacji dwuetapowej, aby ją wyłączyć. Będą potrzebne dwa kody, aby to ukończyć:

  • Musisz być zalogowany. Jeśli nie jesteś, będzie to wymagało użycia kodu zapasowego.
  • Wejdź na Special:OATH i użyj innego kodu zapasowego, aby wyłączyć weryfikację dwuetapową.

Jeżeli nie masz wystarczającej ilości kodów zapasowych, możesz skontaktować się z Trust and Safety na ca@wikimedia.org aby poprosić o usunięcie weryfikacji dwuetapowej z twojego konta (prosimy wysyłać e-maile z adresu do którego przypisane jest twoje konto na wiki). Powinieneś także utworzyć zadanie na Phabricatorze jeżeli wciąż masz do niej dostęp. Zauważ, że usunięcie 2FA przez personel nie jest zawsze rozpatrywane pozytywnie.

Zobacz też