部分進階權限用戶——強制開啟雙重認證

相較於其他網路平台，維基媒體的用戶中能夠執行涉及安全或隱私敏感操作的人數格外龐大。雖然這些用戶通常都是值得信賴且具備專業能力的社群成員，但任何人均可能遭到網路釣魚或遭竊取密碼。若具備此類權限的帳戶遭到盜用，可能會被濫用以傷害其他用戶。

正因如此，維基媒體基金會正轉向採用更安全的系統，要求使用具敏感權限的帳戶登入時必須啟用 雙因素驗證 (2FA)。

我們已開發了一系列新功能來簡化此流程：最重要的是，用戶現在可以設定任意數量的雙因素驗證方式，包括通行金鑰。一旦用戶註冊了通行金鑰，便能完全無需密碼即可登入。對某些用戶而言，使用通行金鑰登入的速度甚至會比啟用雙因素驗證之前更快！

在決定應納入哪些用戶群組時，維基媒體基金會的產品安全與合規團隊考量了任何具備以下能力的群組：

• 查看私人或機密資訊（例如，IP 位址、受監管的內容）
• 編輯其他用戶（或所有人）的 JS/CSS 程式碼
• 提升權限/晉升用戶（將用戶新增至群組，包括自己）
• 以及暗示官方角色的群組。

擁有敏感權限但尚未啟用雙因素驗證（2FA）的用戶，將在強制實施日期前收到直接通知，並附上啟用 2FA 的操作指引。他們應前往專用頁面，設定驗證器應用程式或安全金鑰。完成後，我們建議他們同時添加一組密鑰，這將大幅簡化登入與重新驗證的流程（請在此參閱指南）。

執行措施將以兩週的寬限期為起點。在此期間，系統將無法授予未啟用雙重驗證（2FA）的用戶敏感權限。此外，系統亦不允許持有敏感權限的用戶停用雙重驗證。若用戶希望在此期間暫時停用雙重驗證，需先申請撤銷敏感權限，或若具備相關權限，可自行撤銷。用戶應與監管員協調，以完成停用及重新啟用雙重驗證的流程。

在此期限過後，未啟用雙重驗證的用戶將自動被撤銷敏感權限。這些用戶可透過一般社群流程重新申請權限。

2025年4月，維基媒體基金會與社群管理員合作，針對一宗涉及約36,000個用戶帳戶的大規模遭入侵事件展開調查。我們認為，妥善應對任何安全事件的關鍵在於進行系統性的改進，以降低此類事件未來發生的機率及其影響。

作為這項工作的一部分，我們採取的措施之一是開始對維基媒體專案介面管理員實施強制性的 雙因素驗證。鑑於監督員和用戶查核員擁有存取編輯者非公開資訊的特權，我們同時將雙因素驗證的技術性強制措施擴及至這兩類角色。

2026年3月，維基媒體基金會針對政策上已要求啟用雙因素驗證的用戶，在技術層面上強制實施此項措施。然而，仍有許多其他涉及敏感權限的操作尚未實施這項安全防護。為確保我們的專案與用戶安全，我們決定將雙因素驗證的技術強制執行範圍，擴大至所有執行這些操作的用戶群組。

我們發佈此公告旨在於變更實施前提供預先通知，並藉此機會徵求社群成員的意見。我們歡迎大家提供建議，說明工作團隊應如何在當前及未來最有效地實施此類雙因素驗證（2FA）強制措施，以及我們應針對 2FA 及相關功能進行哪些技術改進，以使所有用戶的使用體驗更加順暢。

請在討論頁面分享您的意見；若您有個人回饋，亦可寄送電子郵件至 security-helpwikimedia.org。我們特別關注以下事項：

• 您在維基媒體專案中使用雙因素驗證時，曾遇到或觀察到他人遇到哪些問題？請列舉任何軟體錯誤、安全疑慮、文件不足、裝置相容性問題，或其他相關事項。
• 除了雙因素驗證（2FA）之外，還有哪些技術性安全要求，我們應將其視為維基站點維護特權存取權限的潛在考量？
• 在強化安全政策時，我們同時應聚焦於哪些其他用戶群組或權限？
• 進行這項工作時，我們最需要謹慎處理哪些事項？
• 您是否有其他意見或問題？

• 誰在主持這次諮詢？
  • 維基媒體基金會的產品安全與合規團隊，由維基媒體運動通訊團隊提供支援。
• 如果我遺失了雙因素驗證裝置該怎麼辦？
  • 請參閱說明:雙因素驗證中的說明。

• 說明:雙因素驗證