Pomoc:Uwierzytelnianie dwuskładnikowe

From Meta, a Wikimedia project coordination wiki
Jump to navigation Jump to search
This page is a translated version of the page Help:Two-factor authentication and the translation is 100% complete.
Strony pomocy Pomoc dotycząca uwierzytelniania dwuskładnikowego
Skrót:
H:2FA

Ta strona objaśnia uwierzytelnianie dwuskładnikowe na wiki prowadzonych przez Wikimedia Foundation. Aby zobaczyć dokumentację rozszerzenia dodającego tę funkcję przejdź na stronę mw:Special:MyLanguage/Extension:OATHAuth.

Implementacja uwierzytelnienia dwuskładnikowego (2FA) zastosowana przez Wikimedia jest sposobem na poprawienie bezpieczeństwa twojego konta. Jeśli je włączysz, za każdym razem, oprócz hasła będziesz proszony o podanie jednorazowego, sześciocyfrowego kodu uwierzytelniającego. Ten kod będzie wygenerowany przez aplikację na twoim smartfonie lub inne urządzenie uwierzytelniające. Dzięki temu do zalogowania musisz znać swoje hasło oraz posiadać urządzenie uwierzytelniające do wygenerowania kodu.

Konta, których to dotyczy

Uwierzytelnianie dwuskładnikowe jest obecnie testowane i opcjonalne (z pewnymi wyjątkami). Używanie go wymaga uprawnienia (oathauth-enable). Uprawnienie to posiadają obecnie administratorzy (oraz użytkownicy z podobnymi uprawnieniami, czyli administratorzy interfejsu), biurokraci, checkuserzy, rewizorzy, stewardzi, operatorzy filtru nadużyć i należący grupy globalnej OATH-tester.

Kwalifikują się również wszystkie konta LDAP z Wikitech (nie są to konta uniwersalne).

Grupy obowiązkowo używające 2FA

Włączanie uwierzytelniania dwuskładnikowego

  • Posiadać uprawnienie (oathauth-enable)
  • Mieć lub zainstalować klienta Time-based One-time Password Algorithm (TOTP). Dla większości użytkowników, będzie to aplikacja na telefon lub tablet. Najczęściej polecanymi aplikacjami są:
    • O otwartym kodzie źródłowym: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox, Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows).
    • O zamkniętym kodzie źródłowym: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS).
    • Inni klienci; porównane na angielskiej Wikipedii.
    • Możesz również użyć komputerowego klienta, takiego jak OATH Toolkit (Linux, macOS za pośrednictwem Homebrew), lub WinAuth (Windows). Pamiętaj jednak, że jeżeli zalogujesz się z komputera używanego do generowania kodów TOTP, twojego konto nie będzie chronione, gdy atakujący uzyska dostęp do twojego komputera.
    • Menadżery haseł takie jak 1Password, LastPass lub KeePass również wspierają/posiadają wtyczki do kodów TOTP. Ma to takie same ograniczenia jak wspomniane powyżej, ale może być warte uwagi, gdy już wykorzystujesz je do innych celów.
      Podgląd sekcji w preferencjach, w której można włączyć uwierzytelnianie dwuskładnikowe.
  • Wejdź na stronę Special:OATH w projekcie, w którym posiadasz jedno z powyższych uprawnień (ten link jest także dostępny w twoich preferencjach). (Dla większości użytkowników, nie będzie to jednak tutaj, na meta-wiki.)
  • Strona Special:OATH dostarczy ci Kod QR zawierający twoją nazwę konta oraz klucz poufny uwierzytelnienia dwuskładnikowego. Są one potrzebne do sparowania twojego klienta z serwerem.
  • Zeskanuj kod QR twoim klientem TOTP albo wprowadź do niego nazwę konta i klucz.
  • Wprowadź kod uwierzytelniający z twojego klienta TOTP na ekranie OATH, aby dokończyć włączanie.
Warning UWAGA: Dostaniesz także zestaw 10 zapasowych kodów jednorazowych oraz jednorazowy kod QR. Powinieneś wydrukować i przechowywać kopię tych kodów w bezpiecznym miejscu. Jeśli utracisz twoje urządzenie lub będziesz miał problem z klientem TOTP, nie zalogujesz się na twoje konto bez dostępu do tych kodów bądź kodu QR w celu ponownego skonfigurowania klienta TOTP.


Logowanie

Ekran logowania
  • Podaj twoją nazwę użytkownika i hasło jak zawsze.
  • Wprowadź jednorazowy sześciocyfrowy kod podany przez twojego klienta TOTP. Zauważ, że ten kod zmienia się co około 30 sekund.

Pozostaw mnie zalogowanym

Jeśli wybierzesz tę opcję podczas logowania, zwyczajnie nie będziesz musiał podawać kodu uwierzytelniającego używając tej samej przeglądarki internetowej. Działania takie jak wylogowanie się czy wyczyszczenie pamięci podręcznej przeglądarki spowodują żądanie wprowadzenia kodu podczas następnego logowania.

Niektóre wrażliwe działania, takie jak zmiana adresu email czy hasła, mogą spowodować żądanie od ciebie ponownego uwierzytelnienia kodem, nawet jeśli zaznaczyłeś opcję „pozostaw mnie zalogowanym”.

Dostęp API

Uwierzytelnianie dwuskładnikowe nie jest wykorzystywane podczas używania OAuth lub haseł botów do logowania się za pomocą API.

Możesz używać OAuth lub haseł botów do ograniczenia sesji API do określonych działań, podczas gdy nadal będziesz używał uwierzytelniania dwuskładnikowego do ochrony pełnego dostępu. Zwróć uwagę na to, że OAuth i hasła botów nie mogą być użyte do logowania się interaktywnego, a jedynie do logowania się za pomocą API.

Na przykład AutoWikiBrowser (AWB) nie wspiera jeszcze uwierzytelniania dwuskładnikowego, ale może używać haseł bota. W celu uzyskania informacji jak to skonfigurować, zobacz stronę Wikipedia:Using AWB with 2FA.

Wyłączanie uwierzytelniania dwuskładnikowego

Deaktywacja
Warning Jeśli masz już włączone uwierzytelnianie dwuskładnikowe, odebranie uprawnienia, które daje ci możliwość jego włączenia NIE wyłączy uwierzytelniania dwuskładnikowego. Musisz wykonać poniższe instrukcje, aby je wyłączyć.
  • Wejdź na stronę Special:OATH albo preferencji. Jeśli nie jesteś już w jednej z grup uprawnionych do włączania uwierzytelniania dwuskładnikowego, nadal możesz je wyłączyć przez stronę Special:OATH.
  • Na stronie wyłączania uwierzytelniania dwuskładnikowego użyj twojego urządzenia uwierzytelniającego, aby wygenerować kod potrzebny do dokończenia procesu.

Kody jednorazowe

Przykładowe zapasowe kody jednorazowe OATH

Podczas włączania uwierzytelniania dwuskładnikowego, dostaniesz zestaw dziesięciu zapasowych kodów jednorazowych. Wydrukuje je i przechowuj w bezpiecznym miejscu, ponieważ mogą być ci potrzebne w przypadku utraty dostępu do urządzenia uwierzytelniającego. Ważne jest, aby zauważyć, że są to kody jednorazowe, po użyciu ich ważność wygasa. Po użyciu danego kodu, możesz go zamazać długopisem lub zaznaczyć w inny sposób, że został zużyty. Aby wygenerować nowy zestaw, musisz wyłączyć i ponownie włączyć uwierzytelnianie dwuskładnikowe.

Wyłączanie uwierzytelniania dwuskładnikowego bez urządzenia uwierzytelniającego

To może wymagać dwóch kodów zapasowych: jednego do zalogowania się i drugiego do wyłączenia. Jeśli kiedykolwiek musiałbyś użyć któregoś z kodów zapasowych, zaleca się, aby najszybciej jak to tylko możliwe wyłączyć i ponownie włączyć uwierzytelnianie dwuskładnikowe w celu wygenerowania nowego zestawu kodów.

Odzyskiwanie konta w przypadku zgubienia lub uszkodzenia urządzenia uwierzytelniającego

Jeśli posiadasz urządzenie uwierzytelniające, które po prostu przestało generować prawidłowe kody, sprawdź czy jego zegar jest w miarę dokładnie ustawiony. Wiadomo, że TOTP na naszych wiki przestaje działać przy 2 minutach różnicy.

Będziesz potrzebował kodów zapasowych wygenerowanych podczas włączania uwierzytelniania dwuskładnikowego, aby je wyłączyć. Będą potrzebne maksymalnie dwa kody, aby to osiągnąć:

  • Musisz być zalogowany. Jeśli nie jesteś, będzie to wymagało użycia kodu zapasowego.
  • Wejdź na stronę Special:OATH i użyj innego kodu zapasowego, aby wyłączyć uwierzytelnianie dwuskładnikowe.

Jeśli nie masz wystarczającej ilości kodów zapasowych, możesz skontaktować się z zespołem Trust and Safety pod adresem ca(_AT_)wikimedia.org, aby poprosić o wyłączenie uwierzytelniania dwuskładnikowego dla twojego konta (prosimy wysłać e-mail z adresu, który jest przypisany do twojego konta na wiki). Powinieneś także utworzyć zadanie („task”) na Phabricatorze, jeżeli nadal masz do niego dostęp. Miej na uwadze, że prośby o wyłączenie 2FA przez personel nie zawsze są rozpatrywane pozytywnie.

Zobacz stronę wikitech:Password and 2FA reset#For users, aby uzyskać instrukcję wyłączania 2FA dla konta deweloperskiego.

Uwierzytelnianie metodą WebAuthn

Pamiętaj, że większość wskazówek na tej stronie dotyczy metody TOTP. Metoda WebAuthn jest jeszcze w fazie eksperymentalnej i obecnie nie ma możliwości odzyskiwania dostępu do konta (patrz phab:T244348).

Zobacz też