Bắt buộc xác thực dùng hai yếu tố với người dùng có một số quyền mở rộng
Từ ngày Template:$3 3 tháng 6 năm 2025, các người dùng có quyền giám sát viên và kiểm định viên sẽ phải kích hoạt xác thực dùng hai yếu tố (2FA) trên tài khoản để sử dụng quyền nâng cao. Trong tương lai, yêu cầu này sẽ có thể áp dụng cho các người dùng có các quyền nâng cao khác. Xem các câu hỏi mà Wikimedia Foundation dành cho cộng đồng để thực hiện quyết định trên.
Bối cảnh
Vài tuần trước, Wikimedia Foundation và nhóm người dùng chức năng của cộng đồng đã điều tra một vụ rò rỉ dữ liệu ảnh hưởng đến ~36,000 tài khoản người dùng. Một trông những bước xử lý đầu tiên được áp dụng là bắt buộc kích hoạt xác thực dùng nhiều yếu tố đối với các bảo quản viên giao diện tại các dự án wiki.
Chúng tôi dự định sẽ tiếp tục thực hiện các thay đổi đáng kể để tăng cường bảo mật tài khoản, đặc biệt là đối với các tài khoản có quyền nâng cao. May mắn thay, hiện tại chưa có dấu hiệu vụ việc tháng 3 năm 2025 dẫn đén ảnh hưởng xấu tới nội dung hoặc sửa đổi độc hại. Tuy nhiên, một phần quan trọng của việc xử trí đối với các sự cố bảo mật là thực hiện cải tiến hệ thống để giảm khả năng và tác động của các sự cố tương tự trong tương lai.
Chúng tôi dự định sẽ bắt buộc thêm giám sát viên và kiểm định viên phải kích hoạt xác thực dùng hai yếu tố (2FA) như một phần của quá trình này, vì các người dùng này có quyền truy cập thông tin riêng tư của các thành viên.
Các người dùng bị ảnh hưởng nên đến trang Special:Manage Two-factor authentication tại dự án wiki mà họ giữ các quyền trên (với hầu hết người dùng thì sẽ không phải là meta-wiki) và thiết lập một ứng dụng tạo mã theo thời gian (xem các ứng dụng tại đây).
Chúng tôi dự định sẽ bắt đầu bắt buộc 2FA từ Thứ ba, $1 ngày 3 tháng 6 năm 2025 và sẽ liên hệ trực tiếp với những người dùng bị ảnh hưởng trước khi sửa đổi có hiệu lực.
We believe we likely need to expand this further, including to other roles with privileged technical capabilities like bureaucrats. However, we note that expanding 2FA widely may come with further difficulties as there are limited 2FA options available to users of Wikimedia projects. We intend to expand the accessibility and security of our 2FA capabilities, such as allowing users to set up multiple authenticators, and to more fully support modern phishing-resistant methods like security keys and passkeys, in order to ease the transition to 2FA for accounts with privileged access to non-public information.
Contact us
We are posting this notice to provide some advance warning before the change is made, and as an opportunity to collect comments from the community members. We welcome input on how we can best implement 2FA enforcement actions like this, now and in the future, and what technical improvements to 2FA and related features we should pursue, to make this a smoother experience for everyone.
Please post your comments on the talk page, or if you have private feedback you can email security-help
wikimedia.org. We're especially interested in:
- What issues have you had, or seen others have, with two-factor authentication on Wikimedia projects? Please call out any software bugs, safety concerns, lack of documentation, difficulty with device compatibility, or anything else.
- Are there technical security requirements other than 2FA that we should be considering as potential requirements for maintaining privileged access on the wikis?
- What other user groups or privileges should we be focused on as we look at strengthening our security policies?
- What do we most need to be careful about as we go about this work?
- Any other comments or questions you have.
FAQ
- Who is running this consultation?
- The Wikimedia Foundation Security team supported by Movement Communications.
- How will you enforce these requirements?
- After a grace period, they will be enforced by the software. As mentioned above, this is already in place for interface administrators. Users who don't use two-factor authentication will not have access to their checkuser/oversighter permissions until they enable 2FA.
- What happens if I lose my 2FA device?
- When you enable 2FA, you will be presented with a series of 10 one-time recovery codes. You should safely store a copy of these codes.
- Even with 2FA enabled, you can initiate the verification process to regain access to your account by contacting ca
wikimedia.org from the confirmed email that is associated with the user account. - In order to start the process of account verification, you will need a working and confirmed email address, that is associated with your user account and which you can write emails from.
- How do I turn on 2FA for my account? I don't see the option.
- Right now, 2FA is generally only available for users with privileged access of some kind. We are investigating what would be required for us to expand 2-factor authentication availability to all Wikimedia user accounts.