Помощь:Двухфакторная аутентификация

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Two-factor authentication and the translation is 78% complete.
Outdated translations are marked like this.
Shortcut:
H:2FA
На этой странице описывается двухфакторная аутентификация в проектах фонда Викимедиа. Для документации по расширению, добавляющее эту функцию, см. mw:Special:MyLanguage/Extension:OATHAuth.

Внедрение в Викимедиа двухфакторной аутентификации (2FA) — это способ повысить безопасность вашей учетной записи. Если вы включите двухфакторную аутентификацию, каждый раз при входе в учетную запись у вас будет запрошен одноразовый шестизначный код аутентификации. Этот код предоставляется приложением на вашем смартфоне или другом устройстве аутентификации. Чтобы войти в учетную запись, вы должны знать свой пароль и иметь устройство аутентификации для генерации кода.

Учётные записи, затронутые этим механизмом

Двухфакторная аутентификация в проектах Викимедиа в настоящее время является экспериментальной и необязательной (с некоторыми исключениями). Для активации нужно разрешение (oathauth-enable), в настоящее время тестируется администраторами (а также участниками с правами администратора, такими как редакторы интерфейса), бюрократы, проверяющие участников, ревизоры, стюарды, редактирующими спам-фильтр и тестировщики двухфакторной аутентификации.

Возможность доступна также для учётных записей Wikitech, подключаемых по LDAP.

Обязательное использование для следующих групп

Включение двухфакторной аутентификации

  • У вас должны быть права (oathauth-enable)
  • У вас должен быть установлен клиент одноразового алгоритма паролей (Time-based One-time Password Algorithm, TOTP). Для большинства пользователей это будет приложение для телефона или планшета. Обыкновенно рекомендуемые приложения включают:
    • С открытым исходным кодом: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox и Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
    • Проприетарные: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
    • General comparison of many common OTP applications which could be used as TOTP client for 2FA (English Wikipedia)
    • Вы также можете использовать настольный клиент, такой как OATH Toolkit (Linux, macOS с помощью Homebrew), или WinAuth (Windows). Имейте в виду, что если вы входите в систему с компьютера, на котором генерируются коды TOTP, этот подход не защищает вашу учетную запись, если злоумышленник получает доступ к вашему компьютеру.
    • Менеджеры паролей, такие как 1Password, Bitwarden и KeePass, также имеют тенденцию поддерживать или иметь плагины для поддержки TOTP. Этот способ имеет те же ограничения, что и у способов выше, но, возможно, стоит его попробовать, если вы уже используете менеджер паролей для других вещей.
      Обзор раздела настроек, в котором можно включить двухфакторную аутентификацию.
  • Перейдите на страницу Special:OATH в том проекте, где у вас есть соответствующие права доступа (см. выше) (эта ссылка доступна из ваших персональных настроек). (Для большинства участников это будет не здесь, не в Мета-вики.)
  • Special:OATH представит вам QR-код, содержащий «Двухфакторное имя учетной записи» и «Двухфакторный секретный ключ». Это необходимо для соединения вашего клиента с сервером.
  • Отсканируйте QR-код, или введите в свой клиент TOTP двухфакторное имя учётной записи и ключ.
  • Чтобы завершить регистрацию, введите в окне OATH код аутентификации из своего клиента TOTP.

Вход

Экран входа
  • Укажите имя своей учётной записи и пароль, затем нажмите кнопку входа.
  • Введите одноразовый шестизначный код аутентификации, предоставленный вашим клиентом TOTP. Примечание: Этот код меняется примерно каждые 30 секунд.

Оставаться в системе

Если вы выберете при входе на сайт эту опцию, вам в дальнейшем не нужно будет вводить код аутентификации при использовании того же браузера. Такие действия, как выход из учётной записи или очистка кеша браузера, потребуют кода при следующем входе в систему.

Некоторые действия, связанные с безопасностью, такие как изменение адреса электронной почты или пароля, могут потребовать повторной аутентификации с кодом, даже если вы выбрали опцию «Оставаться в системе».

Доступ к API

Двухфакторная аутентификация не используется при использовании OAuth или для паролей ботов для входа с помощью API.

Вы можете использовать OAuth или пароли ботов, чтобы ограничить сеансы API конкретными действиями, в то же время используя двухфакторную аутентификацию для защиты своего полного доступа. Обратите внимание: OAuth и пароли ботов нельзя использовать для интерактивного входа в веб-сайт, только через API.

Для примера, такие инструменты, как AutoWikiBrowser (AWB), пока не поддерживает двухфакторную аутентификацию, но может использовать пароли ботов.

Отключение двухфакторной аутентификации

Запрос на отключение
  • Перейдите на Special:OATH или к своим персональным настройкам. Если вы больше не состоите в группах, которые имеют доступ к двухфакторной аутентификации, вы всё равно можете отключить её на Special:OATH.
  • На странице отключения двухфакторной аутентификации для завершения процесса используйте устройство аутентификации для генерации кода.

Скрэтч-коды

Пример скрэтч кодов

При активации двухфакторной аутентификации вам будет предоставлен список из десяти одноразовых скрэтч-кодов. Пожалуйста, распечатайте эти коды и храните их в надежном месте, так как вам, возможно, понадобится их использовать, если вы потеряете доступ к вашему устройству двухфакторной аутентификации. Важно отметить, что каждый из этих кодов является одноразовым; он может использоваться только один раз. После использования одного из них, вы можете пометить его как использованный. Чтобы создать новый набор кодов, вам необходимо отключить и повторно активировать двухфакторную аутентификацию.

Отключение двухфакторной аутентификации без устройства аутентификации

Для этого потребуется два скрэтч-кода: один для входа в учётную запись, а другой — для отключения. Если вам когда-либо понадобится использовать любой из ваших скрэтч-кодов, рекомендуется как можно скорее отключить и снова включить двухфакторную аутентификацию для создания нового набора кодов.

Восстановление с утраченного или сломанного устройства аутентификации

Если у вас есть устройство двухфакторной аутентификации, которое просто перестало генерировать правильные коды, убедитесь, что его часы достаточно точны. Известно, что основанный на времени OTP в наших вики не работает с разницей 2 минуты.

Вам потребуется доступ к скрэтч-кодам, которые вам предоставили при активации двухфакторной аутентификации, чтобы отключить двухфакторную аутентификацию. Для этого вам потребуется использовать до двух скрэтч-кодов:

  • Вы должны быть авторизованны. Если вы ещё не вошли в систему, для этого потребуется использовать скрэтч код.
  • Посетите Special:OATH и используйте любой скрэтч код для отключения двухфакторной аутентификации.

Если у вас недостаточно скретч-кодов, вы можете обратиться в Доверие и безопасность на сайте ca(_AT_)wikimedia.org, чтобы запросить удаление 2FA из вашей учетной записи (пожалуйста, отправьте электронное письмо, используя зарегистрированный адрес электронной почты вашего вики-аккаунт). Вам также следует создать задачу на Фабрикатор, если у вас все еще есть к ней доступ. Обратите внимание, что удаление 2FA персоналом не всегда разрешается.

См wikitech:Сброс пароля и двухфакторной аутентификации#Для пользователей для получения инструкций по запросу удаления двухфакторной аутентификации для вашего Учетная запись разработчика.

Метод веб-аутентификации

Обратите внимание, что большинство указаний на этой странице относятся к методу TOTP. Метод WebAuthn является более экспериментальным и в настоящее время не имеет вариантов восстановления (см. связанная задача разработчика). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).

См. также