Help:二要素認証

Wikimediaでは現状、二要素認証を試験的にオプションとして導入しています(若干の例外あり)。 これを利用できるフラグ (oathauth-enable) は製品試験段階にあり、現時点では、管理者 (ならびに管理者同等の権限を付与されたインターフェイス編集者など)、ビューロクラット、チェックユーザー、オーバーサイト係、とスチュワード、編集フィルター管理者、および二要素認証試験者でテスト中です。

• 二要素認証を必要とするグループ

• (oathauth-enable)のアクセス権限を取得 (デフォルトでは、管理者、ビューロクラット、オーバーサイト、チェックユーザーなどの権限を持つ利用者グループで有効です)
• タイムベースドワンタイムパスワードアルゴリズム (TOTP) のクライアントを入手もしくはインストールします。任意の準拠アプリケーションが使えますが、いくつかの人気があるものとしては：
  • オープンソース: Aegis (Android, F-Droid), FreeOTP (Android, F-Droid, iOS), 2FAS (Android, iOS), Bitwarden Authenticator (Android, iOS), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • クローズドソース: Google Authenticator (Android iOS) およびその他ほとんどの大手テック企業による認証アプリ
  • 2FAのTOTPとして使用することができる一般的なOTPアプリケーションの比較（英語版ウィキペディア）
  • OATH Toolkit（Linux、Homebrew経由のmacOS）、またはWinAuth （Windows）などのデスクトップクライアントを使用することもできます。TOTPコードの生成に使用するコンピューターからログインする場合、もしそのコンピューターに攻撃者が侵入してしまうと、この方法ではアカウントが保護されないことに注意してください。
  • Bitwarden、KeePassおよびProton Passなどのパスワードマネージャーも、TOTPをサポートするプラグインに対応する/を備える傾向が見られます。これには上記と同じ限界がありますが、既に他のもの用に使っているなら検討する価値があるでしょう。

     

• 前述の権限のいずれかを自分が保持しているプロジェクトでSpecial:OATHを開きます（このリンクは個人設定からも利用できます）。（多くの利用者には現在閲覧しているmeta-wikiは該当しません。）
• Special:OATHは二要素認証アカウント名および二要素認証の秘密鍵を格納しているQRコードを提示します。これはご利用のクライアントとサーバを連携するために必要です。
• QRコードをスキャンするか、ご利用のTOTPクライアントに二要素認証アカウント名とキーを入力します。
• TOTPクライアントから認証コードをOATH画面に入力し、設定を完了します。

• 利用者名とパスワードを用意し、以前と同じように送信します。
• TOTPクライアントによって提示された通りに6桁のワンタイム認証コードを入力します。注記：このコードはおよそ30秒間隔で更新されます。コードが却下され続ける場合、認証アプリがインストールされているデバイスの時刻が正しいか確認してください。

ログイン時にこのオプションを選択すると、同一のブラウザを利用する限り、認証コードの入力は不要になります。ログアウトやブラウザのcookie（クッキー）消去などの操作をすると、次回のログイン時に認証コードを要求されます。

ログイン状態の保持オプションを選択していたとしても、メールアドレスやパスワードの変更など、セキュリティ上注意を要する操作では、再認証を求められることがあります。

APIからOAuthあるいはbot passwords (ボットパスワード) を使ってログインするとき、二要素認証は使いません。

特定の動作に関してOAuthかボットパスワードを用いるようにAPIセッションを限定する場合も、全体のアクセスは二要素認証で保護できます。APIへのログインと異なり、ウェブサイトへのログインにはOAuthかボットパスワードかどちらかしか使えず、片方をもう一方の代替手段にすることはできない点にご注意ください。

一例として、オートウィキブラウザー (AWB) などのツールでは二要素認証をサポートしておらず、ボットパスワードを使います。これを設定する方法について更なる情報が見られます。

• Special:OATHもしくは個人設定を開きます。以前、参加していたグループから退去した後でも、Special:OATH経由で無効の処理ができます。
• 認証デバイスを使って二要素認証を無効にするページを開き、無効にする手続きを完了するコードを生成します。

二要素認証を有効にするとき、ワンタイム・リカバリーコードを10件支給されます。2FA認証デバイスにアクセスできなくなった場合に使用する必要があるため、これらのコードをプリントアウトして安全な場所に保存してください。これらのコードはそれぞれ1回限定だという点にご注意ください。1回使うと2度と使えません。1件使うごとにプリントアウトしたものをペンでスクラッチ (塗りつぶす) するか、使用済みの印を付けるとよいでしょう。新しいコードのセットを生成するには、二要素認証を無効化して、再度有効化する必要があります。

この処理にはリカバリーコードをログイン手続きに1件、無効化に1件の合計2件使います。もしリカバリーコードを使用する場面があったとしたら、なるべくすぐに (二要素認証の) 無効化と再有効化をして、コードの新しいセットを生成することを推奨します。

2FAデバイスが単に正確なコードを生成しなくなった場合、そのデバイスの時計が正確かチェックしてください。ウィキメディアのTOTPは2分の誤差があると認証できないことが知られています。

二要素認証を解除するには、設定した時に付与されたリカバリーコードが必要です。解除手続き中に求められるリカバリーコードは最大2件です。

• ログインする必要があります。まだログインしていない状態であれば、1件目のリカバリーコードを使います。
• Special:OATHを開き、2件目のリカバリーコードを使い二要素認証を解除します。

リカバリーコードが足りない場合は、ca wikimedia.orgの信頼と安全に連絡して（ウィキのアカウントに登録済みのメールアドレスを使用してメールを送信してください）、アカウントから2FAの除去を要求してください。まだPhabricatorにアクセスできる場合はタスクも作成すべきです。なおスタッフによる2FAの除去は、必ずしも保証されないことに注意してください。

開発者アカウントの二要素認証の除去を依頼する手順についてはwikitech:Password and 2FA reset#For usersを参照してください。

このページのほとんどの指示は、TOTP方式に固有のものであることに注意してください。 Web認証方式はより実験的であり、現在、回復オプションはありません。(phab:T244348を参照すること)。 Web認証には、あなたがそれを始めたのと同じプロジェクトから今後のログオンを行う必要があるという既知の問題があります（タスクを追跡）。

• 多要素認証の概念に関する日本語版ウィキペディアの記事およびウィキデータの項目
• ウィキメディアの二要素認証の既知のバグと改善の要望はPhabricatorで共同して追跡中
• OATHAuthはこの用途に使うMediaWiki拡張機能
• ウィキメディア財団セキュリティ部門/CentralAuthウィキ向け二要素認証
• Help:二要素認証 - MediaWiki.org