Jump to content

Ajuda:Autenticação de dois fatores

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Two-factor authentication and the translation is 78% complete.
Outdated translations are marked like this.
Shortcut :
H:2FA
Esta página explica a autenticação de dois fatores nas wikis da Fundação Wikimedia. Se deseja consultar a documentação da extensão que ativa este recurso, acesse: mw:Special:MyLanguage/Extension:OATHAuth.

A implementação da autenticação de dois fatores (2FA) da Wikimedia é uma forma de aumentar a segurança da sua conta. Se você ativar a autenticação de dois fatores, um código de autenticação único de seis dígitos será solicitado além de sua senha. Este código é fornecido por um aplicativo em seu smartphone ou outro dispositivo de autenticação. Para efetuar o login, você deverá saber a sua senha e ter o seu dispositivo de autenticação disponível para gerar o código.

Contas afetadas

A autenticação em dois fatores na Wikimedia é atualmente experimental e opcional (com algumas exceções). A utilização requer o direito (oathauth-enable), atualmente em teste com administradores (e usuários com permissões semelhantes a administradores como editores de interface), burocratas, verificadores, supressores, stewards, gerenciadores de filtros de edição e o grupo global de testadores OATH.

Contas LDAP do Wikitech (também conhecidas como contas de desenvolvedor) também são elegíveis. Estas contas não fazem parte do Login Unificado

Grupos de usuários com utilização obrigatória

Ativando a autenticação de dois fatores

  • Tem o acesso (oathauth-enable) por padrão, disponível para administradores, burocratas, supressores, verificadores e outros grupos de usuários privilegiados
  • Ter ou instalar um cliente de Senha Única Baseada em Tempo (TOTP, na sigla em inglês). Para muitos usuários, esse será um aplicativo para smartphone ou tablet. Aplicativos geralmente recomendados incluem:
    • Código aberto: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
    • Código fechado: Authy (Android, iOS), Google Authenticator (Android, iOS)
    • Comparação geral de muitos aplicativos OTP comuns que podem ser usados ​​como cliente TOTP para 2FA (Wikipedia em inglês)
    • Você também pode utilizar um cliente desktop como o OATH Toolkit (Linux, macOS via Homebrew) ou WinAuth (Windows). Lembre-se que, se você utilizar o mesmo computador para gerar o código de autenticação e efetuar o login, esse método pode não proteger sua conta caso um invasor obtenha acesso ao seu computador.
    • Gerenciadores de senhas como o 1Password, Bitwarden e o KeePass também tendem a dar suporte/ter plugins para dar suporte ao TOTP. Isso possui as mesmas limitações que as descritas acima, mas pode valer a pena investigar caso você já utilize um para outras coisas.
      Visão geral da seção de preferências para ativar a autenticação de dois fatores.
  • Vá para Special:OATH no projeto onde você possui o acesso necessário (este link também está disponíveis nas preferências). (Para a maioria dos usuários, isso não pode ser feito aqui no meta-wiki.)
  • Special:OATH irá lhe apresentar um código QR contendo o nome de conta de dois fatores e chave secreta de dois fatores. Isso é necessário para parear seu cliente com o servidor.
  • Digitalize o código QR com, ou insira o nome de conta de dois fatores e chave em, seu cliente TOTP.
  • Digite o código de autenticação do seu cliente TOTP na tela OATH para concluir a inscrição.

Entrando

Tela de entrada
  • Forneça seu nome de usuário e senha, e envie como antes.
  • Digite um código de autenticação de seis dígitos, conforme fornecido pelo cliente TOTP. Nota: Esse código muda a cada trinta segundos.

Mantenha-me logado

Se você escolher essa opção ao efetuar login, você normalmente não precisará inserir um código de autenticação ao usar o mesmo navegador. Ações como sair ou limpar o cache do navegador exigirão um código no seu próximo login.

Algumas ações sensíveis à segurança, como alterar seu endereço de e-mail ou senha, podem exigir que você se autentique novamente com um código, mesmo que tenha escolhido a opção mantenha-me conectado.

Acesso à API

A autenticação em dois fatores não é utilizada quando OAuth ou senhas de robô são usados para efetuar login por meio da API.

Você pode usar OAuth ou senhas de robô para restringir as sessões da API a ações específicas, enquanto ainda usa a autenticação de dois fatores para proteger seu acesso total. Observe que OAuth e as senhas de robô não podem ser usadas para logar interativamente no site, apenas na API.

Por exemplo, ferramentas como o AutoWikiBrowser (AWB) ainda não possuem suporte à autenticação em dois fatores, mas podem usar senhas de robô. Para informações adicionais em como configurar isso veja Wikipedia:Using AWB with 2FA (em inglês)

Desativando a autenticação de dois fatores

Cancelar a inscrição
  • Vá para Special:OATH ou preferências. Se você não está mais em grupos que podem ativar o 2FA, você ainda pode desativar em Special:OATH.
  • Na página desabilitar TOTP, use seu dispositivo de autenticação para gerar um código para completar o processo.

Códigos temporários

Exemplo de códigos OATH temporários

Ao se inscrever na autenticação de dois fatores, você receberá uma lista de dez códigos temporários de uso único. Por favor imprima os códigos e armazene-os em um local seguro, pois você pode precisar usá-los caso perca o acesso ao seu dispositivo 2FA. É importante observar que cada um desses códigos é de uso único; só pode ser usado uma vez e depois expira. Depois de usar um, você pode riscar com uma caneta ou marcar que o código foi usado. Para gerar um novo conjunto de códigos, você precisará desabilitar e reativar a autenticação de dois fatores.

Desativando a autenticação de dois fatores sem um dispositivo de autenticação

Isso pode exigir dois códigos temporários: um para efetuar login e outro para desativar. Caso você precise usar algum dos códigos temporários, é recomendável desativar e reativar o 2FA para gerar um novo conjunto de códigos o mais rápido possível.

Recuperação a partir de um dispositivo de autenticação perdido ou danificado

Se você tiver um dispositivo 2FA existente que simplesmente parou de gerar os códigos corretos, verifique se o relógio está razoavelmente preciso. Sabe-se que a OTP baseada em tempo em nossas wikis falha com 2 minutos de diferença.

Você precisará acessar os códigos temporários que foram fornecidos ao se inscrever para cancelar o registro da autenticação de dois fatores. Isso exigirá que você use até dois códigos para fazer isso:

  • Você precisa estar logado. Se você ainda não o está, isso irá requerer o uso de um código temporário.
  • Visite Special:OATH e use um código temporário diferente para desativar a autenticação em dois fatores.

Se você não possui códigos temporários suficientes, você pode contatar a equipe de Trust and Safety no ca(_AT_)wikimedia.org para solicitar a remoção do 2FA da sua conta (por favor envie um email usando o endereço de email registrado na sua conta da wiki). Você também deve criar uma tarefa no Phabricator se você ainda possui acesso à ele. Por favor note que a remoção do 2FA pela equipe não é sempre efetuado.

Veja wikitech:Password and 2FA reset#For users para instruções sobre como requisitar a remoção do 2FA para sua conta de desenvolvedor.

Método de Autenticação Web

Por favor note que a maioria das instruções nesta página são específicas ao método TOTP. O método WebAuthn é mais experimental e atualmente não possui opções de recuperação (confira phab:T244348). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).

Ver também