Ajuda:Autenticação de dois fatores
A implementação da autenticação de dois fatores (2FA) da Wikimedia é uma forma de aumentar a segurança da sua conta. Se você ativar a autenticação de dois fatores, um código de autenticação único de seis dígitos será solicitado além de sua senha. Este código é fornecido por um aplicativo em seu smartphone ou outro dispositivo de autenticação. Para efetuar o login, você deverá saber a sua senha e ter o seu dispositivo de autenticação disponível para gerar o código.
Contas afetadas
A autenticação em dois fatores na Wikimedia é atualmente experimental e opcional (com algumas exceções). A utilização requer o direito (oathauth-enable)
, atualmente em teste com administradores (e usuários com permissões semelhantes a administradores como editores de interface), burocratas, verificadores, supressores, stewards, gerenciadores de filtros de edição e o grupo global de testadores OATH.
Contas LDAP do Wikitech (também conhecidas como contas de desenvolvedor) também são elegíveis. Estas contas não fazem parte do Login Unificado
Grupos de usuários com utilização obrigatória
Ativando a autenticação de dois fatores
- Tem o acesso
(oathauth-enable)
por padrão, disponível para administradores, burocratas, supressores, verificadores e outros grupos de usuários privilegiados - Ter ou instalar um cliente de Senha Única Baseada em Tempo (TOTP, na sigla em inglês). Para muitos usuários, esse será um aplicativo para smartphone ou tablet. Aplicativos geralmente recomendados incluem:
- Código aberto: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
- Código fechado: Authy (Android, iOS), Google Authenticator (Android, iOS)
- Comparação geral de muitos aplicativos OTP comuns que podem ser usados como cliente TOTP para 2FA (Wikipedia em inglês)
- Você também pode utilizar um cliente desktop como o OATH Toolkit (Linux, macOS via Homebrew) ou WinAuth (Windows). Lembre-se que, se você utilizar o mesmo computador para gerar o código de autenticação e efetuar o login, esse método pode não proteger sua conta caso um invasor obtenha acesso ao seu computador.
- Gerenciadores de senhas como o 1Password, Bitwarden e o KeePass também tendem a dar suporte/ter plugins para dar suporte ao TOTP. Isso possui as mesmas limitações que as descritas acima, mas pode valer a pena investigar caso você já utilize um para outras coisas.
- Vá para Special:OATH no projeto onde você possui o acesso necessário (este link também está disponíveis nas preferências). (Para a maioria dos usuários, isso não pode ser feito aqui no meta-wiki.)
- Special:OATH irá lhe apresentar um código QR contendo o nome de conta de dois fatores e chave secreta de dois fatores. Isso é necessário para parear seu cliente com o servidor.
- Digitalize o código QR com, ou insira o nome de conta de dois fatores e chave em, seu cliente TOTP.
- Digite o código de autenticação do seu cliente TOTP na tela OATH para concluir a inscrição.
Entrando
- Forneça seu nome de usuário e senha, e envie como antes.
- Digite um código de autenticação de seis dígitos, conforme fornecido pelo cliente TOTP. Nota: Esse código muda a cada trinta segundos.
Mantenha-me logado
Se você escolher essa opção ao efetuar login, você normalmente não precisará inserir um código de autenticação ao usar o mesmo navegador. Ações como sair ou limpar o cache do navegador exigirão um código no seu próximo login.
Algumas ações sensíveis à segurança, como alterar seu endereço de e-mail ou senha, podem exigir que você se autentique novamente com um código, mesmo que tenha escolhido a opção mantenha-me conectado.
Acesso à API
A autenticação em dois fatores não é utilizada quando OAuth ou senhas de robô são usados para efetuar login por meio da API.
Você pode usar OAuth ou senhas de robô para restringir as sessões da API a ações específicas, enquanto ainda usa a autenticação de dois fatores para proteger seu acesso total. Observe que OAuth e as senhas de robô não podem ser usadas para logar interativamente no site, apenas na API.
Por exemplo, ferramentas como o AutoWikiBrowser (AWB) ainda não possuem suporte à autenticação em dois fatores, mas podem usar senhas de robô. Para informações adicionais em como configurar isso veja Wikipedia:Using AWB with 2FA (em inglês)
Desativando a autenticação de dois fatores
Se você já possui o 2FA ativo, remover a permissão que permite que você ative o 2FA NÃO IRÁ desativar o 2FA. Você precisa seguir o processo abaixo para desativá-lo. |
- Vá para Special:OATH ou preferências. Se você não está mais em grupos que podem ativar o 2FA, você ainda pode desativar em Special:OATH.
- Na página desabilitar TOTP, use seu dispositivo de autenticação para gerar um código para completar o processo.
Códigos temporários
Ao se inscrever na autenticação de dois fatores, você receberá uma lista de dez códigos temporários de uso único. Por favor imprima os códigos e armazene-os em um local seguro, pois você pode precisar usá-los caso perca o acesso ao seu dispositivo 2FA. É importante observar que cada um desses códigos é de uso único; só pode ser usado uma vez e depois expira. Depois de usar um, você pode riscar com uma caneta ou marcar que o código foi usado. Para gerar um novo conjunto de códigos, você precisará desabilitar e reativar a autenticação de dois fatores.
Desativando a autenticação de dois fatores sem um dispositivo de autenticação
Isso pode exigir dois códigos temporários: um para efetuar login e outro para desativar. Caso você precise usar algum dos códigos temporários, é recomendável desativar e reativar o 2FA para gerar um novo conjunto de códigos o mais rápido possível.
Recuperação a partir de um dispositivo de autenticação perdido ou danificado
Se você tiver um dispositivo 2FA existente que simplesmente parou de gerar os códigos corretos, verifique se o relógio está razoavelmente preciso. Sabe-se que a OTP baseada em tempo em nossas wikis falha com 2 minutos de diferença.
Você precisará acessar os códigos temporários que foram fornecidos ao se inscrever para cancelar o registro da autenticação de dois fatores. Isso exigirá que você use até dois códigos para fazer isso:
- Você precisa estar logado. Se você ainda não o está, isso irá requerer o uso de um código temporário.
- Visite Special:OATH e use um código temporário diferente para desativar a autenticação em dois fatores.
Se você não possui códigos temporários suficientes, você pode contatar a equipe de Trust and Safety no cawikimedia.org para solicitar a remoção do 2FA da sua conta (por favor envie um email usando o endereço de email registrado na sua conta da wiki). Você também deve criar uma tarefa no Phabricator se você ainda possui acesso à ele. Por favor note que a remoção do 2FA pela equipe não é sempre efetuado.
Veja wikitech:Password and 2FA reset#For users para instruções sobre como requisitar a remoção do 2FA para sua conta de desenvolvedor.
Método de Autenticação Web
Por favor note que a maioria das instruções nesta página são específicas ao método TOTP. O método WebAuthn é mais experimental e atualmente não possui opções de recuperação (confira phab:T244348). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).
Ver também
- Artigo na Wikipédia em Inglês e o ítem do Wikidata sobre o conceito da autenticação em vários fatores
- Bugs conhecidos e melhorias solicitadas da autenticação em dois fatores da Wikimedia são acompanhados no Phabricator.
- OATHAuth é a extensão do MediaWiki usada para essa funcionalidade
- Equipe de Segurança da Wikimedia/Autenticação em dois fatores para wikis CentralAuth (em inglês)
- Ajuda:Autenticação em dois fatores no MediaWiki.org