วิธีใช้:การตรวจสอบสิทธิ์แบบสองขั้นตอน
การใช้ การตรวจสอบสิทธิ์แบบสองขั้นตอน ของวิกิมีเดียคือ (2FA) เป็นหนทางหนึ่งในการเสริมสร้างความปลอดภัยให้กับบัญชีของคุณ หากคุณเปิดใช้งานการรับรองความถูกต้องสองขั้นตอน คุณจะถูกขอให้ป้อนรหัสการตรวจสอบสิทธิ์หกหลักทุกครั้งนอกเหนือจากรหัสผ่านของคุณ รหัสนี้มีให้โดยแอปบน สมาร์ทโฟน หรืออุปกรณ์การตรวจสอบสิทธิ์อื่น ๆ ในการลงชื่อเข้าใช้คุณต้องทราบรหัสผ่านของคุณและมีอุปกรณ์การตรวจสอบความถูกต้องเพื่อสร้างรหัส
บัญชีที่ได้รับผลกระทบ
การตรวจสอบสิทธิ์แบบสองขั้นตอนในวิกิมีเดียนั้นกำลังอยู่ระหว่างการทดลองและไม่บังคับ (ยกเว้นบางกรณี) การลงทะเบียนต้องใช้การเข้าถึง (oathauth-enable) ขณะนี้อยู่ระหว่างการทดสอบการออกผลกับผู้ดูแลระบบ (และผู้ใช้ที่มีสิทธิ์เช่นเดียวกับผู้ดูแลระบบ เช่น ผู้แก้ไขอินเตอร์เฟซ), ผู้ดูแลระบบสิทธิ์แต่งตั้ง, ผู้ตรวจสอบผู้ใช้, ผู้ดูแลประวัติ, ผู้ดูแลโครงการ, ผู้จัดการตัวกรองการแก้ไข และกลุ่มส่วนกลางผู้ทดสอบ-OATH
บัญชี LDAP ของ Wikitech ทั้งหมด (หรือที่เรียกว่าบัญชีนักพัฒนาซอฟต์แวร์) ก็มีสิทธิ์เช่นกัน บัญชีเหล่านี้ไม่ได้เป็นส่วนหนึ่งของ Single Unified Login
กลุ่มผู้ใช้ที่บังคับใช้
การเปิดใช้งานการตรวจสอบสิทธิ์แบบสองขั้นตอน
- มี
(oathauth-enable)access (โดยค่าเริ่มต้น มีให้สำหรับผู้ดูแลระบบ ผู้ดูแลระบบสิทธิ์แต่งตั้ง ผู้ยับยั้ง ผู้ใช้ตรวจสอบ และกลุ่มผู้ใช้ที่มีสิทธิพิเศษอื่น ๆ) - มีหรือติดตั้งไคลเอนต์ Time-based One-time Password Algorithm (TOTP) สำหรับผู้ใช้ส่วนใหญ่ จะเป็นแอปพลิเคชันบนโทรศัพท์หรือแท็บเล็ต แอพที่แนะนำโดยทั่วไป ได้แก่:
- โอเพนซอร์ส: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), พาสแมน (NextCloud), KeePassXC (Linux, macOS, Windows)
- แหล่งที่มาแบบปิด: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
- General comparison of many common OTP applications which could be used as TOTP client for 2FA (English Wikipedia)
- คุณยังสามารถใช้ไคลเอนต์เดสก์ท็อป เช่น OATH Toolkit (Linux, macOS ผ่าน Homebrew) หรือ WinAuth (Windows) โปรดทราบว่าหากคุณเข้าสู่ระบบจากคอมพิวเตอร์ที่ใช้สร้างรหัส TOTP วิธีการนี้จะไม่ปกป้องบัญชีของคุณหากผู้โจมตีเข้าถึงคอมพิวเตอร์ของคุณได้
- ผู้จัดการรหัสผ่าน เช่น 1Password, Bitwarden และ KeePass มีแนวโน้มที่จะสนับสนุน/มีปลั๊กอินเพื่อรองรับ TOTP สิ่งนี้มีข้อจำกัดเช่นเดียวกับข้างต้น แต่อาจคุ้มค่าที่จะพิจารณาหากคุณใช้สิ่งอื่นอยู่แล้ว
ภาพรวมของส่วนการตั้งค่าเพื่อเปิดใช้งานการตรวจสอบสิทธิ์แบบสองขั้นตอน
- ไปที่ Special:OATH ในโครงการที่คุณถือหนึ่งในสิทธิ์ข้างต้นบน (มีลิงก์นี้จาก preferences ของคุณด้วย) (สำหรับผู้ใช้ส่วนใหญ่ สิ่งนี้จะไม่ปรากฏบนเมทา-วิกิ)
- Special:OATH นำเสนอ QR code ที่มี ชื่อบัญชีแบบสองปัจจัย และ รหัสลับแบบสองปัจจัย ซึ่งจำเป็นสำหรับการจับคู่ลูกค้าของคุณกับ เซิฟเวอร์
- สแกนคิวอาร์โค้ดหรือป้อนชื่อบัญชีแบบสองปัจจัยและคีย์ลงในไคลเอ็นต์ TOTP ของคุณ
- ป้อนรหัสยืนยันตัวตนจากไคลเอนต์ TOTP ของคุณลงในหน้าจอ OATH เพื่อลงทะเบียนให้เสร็จสมบูรณ์
 | คำเตือน: คุณจะได้รับรหัสขูดแบบใช้ครั้งเดียว 10 ชุด คุณควรพิมพ์และจัดเก็บสำเนาของหน้านี้อย่างปลอดภัย หากคุณทำหายหรือมีปัญหากับไคลเอนต์ TOTP คุณจะถูกล็อคไม่ให้เข้าบัญชีของคุณ เว้นแต่คุณจะสามารถเข้าถึงรหัสเหล่านี้ได้ |
การเข้าสู่ระบบ
- ระบุชื่อผู้ใช้และรหัสผ่านแล้วส่งตามเดิม
- ป้อนรหัสยืนยันตัวตน 6 หลักแบบครั้งเดียวตามที่ลูกค้า TOTP ให้มา หมายเหตุ: รหัสนี้เปลี่ยนทุก ๆ 30 วินาที
จดจำฉันในระบบ
หากคุณเลือกตัวเลือกนี้เมื่อเข้าสู่ระบบ โดยปกติคุณไม่จำเป็นต้องป้อนรหัสยืนยันตัวตนเมื่อใช้เบราว์เซอร์เดียวกัน การดำเนินการต่าง ๆ เช่น การออกจากระบบหรือการล้างคุกกี้ของเบราว์เซอร์จะต้องใช้รหัสในการเข้าสู่ระบบครั้งต่อไปของคุณ
การกระทำที่ละเอียดอ่อนต่อความปลอดภัยบางอย่าง เช่น การเปลี่ยนที่อยู่อีเมลหรือรหัสผ่าน อาจกำหนดให้คุณตรวจสอบสิทธิ์อีกครั้งด้วยรหัส แม้ว่าคุณจะเลือกตัวเลือกให้ฉันอยู่ในระบบก็ตาม
การเข้าถึง API
ไม่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเมื่อใช้ OAuth หรือ รหัสผ่านบอท เพื่อเข้าสู่ระบบผ่าน API
คุณสามารถใช้รหัสผ่าน OAuth หรือบอตเพื่อจำกัดเซสชัน API เฉพาะการกระทำบางอย่าง ในขณะที่ยังคงใช้การรับรองความถูกต้องด้วยสองปัจจัยเพื่อปกป้องการเข้าถึงแบบเต็มของคุณ โปรดทราบว่ารหัสผ่าน OAuth และบอตไม่สามารถใช้เพื่อเข้าสู่ระบบแบบโต้ตอบกับเว็บไซต์ได้ ใช้กับ API เท่านั้น
ตัวอย่างเช่น เครื่องมืออย่าง AutoWikiBrowser (AWB) ยังไม่สนับสนุนการตรวจสอบสิทธิ์แบบสองปัจจัย แต่สามารถใช้รหัสผ่านของบอตได้ คุณอาจพบ ข้อมูลเพิ่มเติมเกี่ยวกับวิธีกำหนดค่านี้
การปิดใช้งานการช่วยตรวจสอบความถูกต้องสองขั้นตอน
| หากคุณเปิดใช้งาน 2FA อยู่แล้ว ให้ลบการอนุญาตที่อนุญาตให้คุณลงทะเบียนใน 2FA จะไม่ ปิดใช้งาน 2FA คุณต้องทำตามขั้นตอนด้านล่างเพื่อปิดการใช้งาน |
- ไปที่ Special:OATH หรือ preferences หากคุณไม่ได้อยู่ในกลุ่มที่ได้รับอนุญาตให้ลงทะเบียนแล้ว คุณยังสามารถปิดใช้งานได้ผ่าน Special:OATH
- ในหน้า disable two-factor authentication ให้ใช้อุปกรณ์ตรวจสอบความถูกต้องของคุณเพื่อสร้างรหัสเพื่อดำเนินการให้เสร็จสิ้น
Scratch codes
เมื่อลงทะเบียนในการยืนยันตัวตนแบบสองปัจจัย คุณจะได้รับรายการ scratch code แบบใช้ครั้งเดียวสิบรายการ โปรดพิมพ์รหัสเหล่านั้นและเก็บไว้ในที่ปลอดภัย เนื่องจากคุณอาจต้องใช้รหัสเหล่านี้ในกรณีที่คุณไม่สามารถเข้าถึงอุปกรณ์ 2FA ของคุณได้ สิ่งสำคัญคือต้องทราบว่ารหัสแต่ละรหัสเหล่านี้เป็น ใช้เพียงครั้งเดียว; อาจใช้เพียงครั้งเดียวแล้วหมดอายุ หลังจากใช้รหัสแล้ว คุณสามารถขีดทับด้วยปากกาหรือทำเครื่องหมายว่ามีการใช้รหัสแล้ว หากต้องการสร้างรหัสชุดใหม่ คุณจะต้องปิดใช้งานและเปิดใช้การตรวจสอบสิทธิ์แบบสองปัจจัยอีกครั้ง
การปิดใช้งานการช่วยตรวจสอบความถูกต้องสองขั้นตอนโดยไม่ใช้อุปกรณ์การช่วยตรวจสอบความถูกต้อง
การดำเนินการนี้อาจต้องใช้ scratch code สอง รหัสหนึ่งเพื่อเข้าสู่ระบบ และอีกรหัสหนึ่งเพื่อปิดใช้งาน หากคุณจำเป็นต้องใช้ scratch code ใด ๆ ของคุณ ขอแนะนำให้ปิดการใช้งานและเปิดใช้ใหม่อีกครั้งเพื่อสร้างชุดรหัสใหม่โดยเร็วที่สุด
การกู้คืนจากอุปกรณ์การช่วยตรวจสอบความถูกต้องที่สุญหายหรือพัง
หากคุณมีอุปกรณ์ 2FA ที่มีอยู่ซึ่งเพิ่งหยุดสร้างรหัสที่ถูกต้อง ให้ตรวจสอบว่านาฬิกานั้นเที่ยงตรงพอสมควร OTP ตามเวลาบนวิกิของเราเป็นที่ทราบกันดีว่าล้มเหลวโดยมีความแตกต่างกัน 2 นาที
คุณจะต้องเข้าถึง scratch code ที่ได้รับเมื่อลงทะเบียนเพื่อยกเลิกการลงทะเบียนจากการรับรองความถูกต้องด้วยสองปัจจัย คุณจะต้องใช้ scratch code สูงสุด สอง เพื่อทำสิ่งนี้ให้สำเร็จ:
- คุณต้องเข้าสู่ระบบ หากคุณยังไม่ได้เข้าสู่ระบบ จะต้องใช้ scratch code
- ไปที่ Special:OATH และใช้ scratch code อื่นเพื่อปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย
หากคุณมี scratch codes ไม่พอ คุณสามารถติดต่อ ความน่าเชื่อถือและความปลอดภัย ที่ ca
wikimedia.org เพื่อขอลบ 2FA ออกจากบัญชีของคุณ (โปรดส่งอีเมลโดยใช้ที่อยู่อีเมลที่ลงทะเบียนของคุณ บัญชีวิกิ) นอกจากนี้ คุณควรสร้างงานบน Phabricator หากคุณยังสามารถเข้าถึงได้ โปรดทราบว่าเจ้าหน้าที่ไม่สามารถลบ 2FA ได้เสมอไป
ดู wikitech:Password and 2FA reset#For users สำหรับคำแนะนำในการขอลบ 2FA สำหรับ Developer account
วิธีการยืนยันตัวเว็บ
โปรดทราบว่าคำแนะนำส่วนใหญ่ในหน้านี้เป็นวิธีการ TOTP โดยเฉพาะ เมธอด WebAuthn เป็นการทดลองมากกว่าและไม่มีตัวเลือกในการกู้คืนในขณะนี้ (เปรียบเทียบ งานของนักพัฒนาซอฟต์แวร์ที่เกี่ยวข้อง) WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).
ดูเพิ่ม
- English Wikipedia article และ รายการ Wikidata เกี่ยวกับแนวคิดของการรับรองความถูกต้องด้วยหลายปัจจัย
- [ข้อบกพร่องที่ทราบของ https://phabricator.wikimedia.org/tag/mediawiki-extensions-oathauth และการปรับปรุงที่ร้องขอ] ของการรับรองความถูกต้องด้วยสองปัจจัยของ Wikimedia นั้นถูกติดตามใน Phabricator
- OATHAuth เป็นส่วนขยายของ MediaWiki ที่ใช้สำหรับการทำงานนี้
- ทีมรักษาความปลอดภัย Wikimedia/การรับรองความถูกต้องด้วยสองปัจจัยสำหรับวิกิ CentralAuth
- Help:Two-factor authentication ใน MediaWiki.org