Помощь:Двухфакторная аутентификация

Двухфакторная аутентификация в проектах Викимедиа в настоящее время является экспериментальной и необязательной (с некоторыми исключениями). Для активации нужно разрешение (oathauth-enable), в настоящее время тестируется администраторами (а также участниками с правами администратора, такими как редакторы интерфейса), бюрократы, проверяющие участников, ревизоры, стюарды, редактирующими спам-фильтр и тестировщики двухфакторной аутентификации.

• Группы, требующие двухфакторной аутентификации

• Включить $oathauth-разрешить доступ (по умолчанию доступен администраторам, бюрократам, подавителям, проверяющим пользователям и другим привилегированным группам пользователей)
• Создайте или установите клиент Алгоритм одноразового пароля на основе времени (ОПОВ). Для большинства пользователей это будет приложение для телефона или планшета. Возможно использование любого совместимого приложения, в том числе популярного:
  • С открытым исходным кодом: Aegis (Android, F-Droid), FreeOTP (Android, F-Droid, iOS), 2FAS (Android, iOS), Bitwarden Authenticator (Android, iOS), Аутентификатор (iOS), Authenticator.cc (Chrome, Firefox и Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • Закрытый исходный код: Google Аутентификатор (Android iOS) и приложения для проверки подлинности от большинства других крупных технологических компаний
  • Общее сравнение многих распространенных OTP-приложений, которые можно использовать в качестве ОПОВ-клиента для 2FA (английская Википедия)
  • Вы также можете использовать настольный клиент, такой как OATH Toolkit (Linux, macOS с помощью Homebrew), или WinAuth (Windows). Имейте в виду, что если вы входите в систему с компьютера, на котором генерируются коды ОПОВ, этот подход не защищает вашу учетную запись, если злоумышленник получает доступ к вашему компьютеру.
  • Менеджеры паролей, такие как Bitwarden, KeePass и Proton Pass, также, как правило, поддерживают плагины для поддержки ОПОВ. Это имеет те же ограничения, что и описанное выше, но, возможно, стоит изучить, если вы уже используете его для других целей.

     

• Перейдите на страницу Special:OATH в том проекте, где у вас есть соответствующие права доступа (см. выше) (эта ссылка доступна из ваших персональных настроек). (Для большинства участников это будет не здесь, не в Мета-вики.)
• Special:OATH представит вам QR-код, содержащий «Двухфакторное имя учетной записи» и «Двухфакторный секретный ключ». Это необходимо для соединения вашего клиента с сервером.
• Отсканируйте QR-код, или введите в свой клиент ОПОВ двухфакторное имя учётной записи и ключ.
• Чтобы завершить регистрацию, введите в окне OATH код аутентификации из своего клиента ОПОВ.

• Укажите свое имя пользователя и пароль и отправьте заявку, как и раньше.
• Введите одноразовый шестизначный код аутентификации, предоставленный клиентом ОПОВ. Примечание: Этот код меняется примерно каждые тридцать секунд. Если ваш код продолжает отклоняться, проверьте правильность времени на вашем устройстве, на котором установлено приложение для проверки подлинности.

Если вы выберете при входе на сайт эту опцию, вам в дальнейшем не нужно будет вводить код аутентификации при использовании того же браузера. Такие действия, как выход из учётной записи или очистка кеша браузера, потребуют кода при следующем входе в систему.

Некоторые действия, связанные с безопасностью, такие как изменение адреса электронной почты или пароля, могут потребовать повторной аутентификации с кодом, даже если вы выбрали опцию «Оставаться в системе».

Двухфакторная аутентификация не используется при использовании OAuth или пароля ботов для входа в систему через API.

Вы можете использовать OAuth или пароли ботов, чтобы ограничить сеансы API конкретными действиями, в то же время используя двухфакторную аутентификацию для защиты своего полного доступа. Обратите внимание: OAuth и пароли ботов нельзя использовать для интерактивного входа в веб-сайт, только через API.

Например, такие инструменты, как AutoWikiBrowser (AWB), пока не поддерживают двухфакторную аутентификацию, но могут использовать пароли ботов. Вы можете найти дополнительную информацию о том, как это настроить.

• Перейдите на вкладку Special:OATH или настройки. Если вы больше не состоите в группах, в которые разрешено записываться, вы все равно можете отключить подписку с помощью Special:OATH.
• На странице отключения двухфакторной аутентификации для завершения процесса используйте устройство аутентификации для генерации кода.

При регистрации на двухфакторную аутентификацию вам будет предоставлен список из десяти одноразовых кодов восстановления. Пожалуйста, распечатайте эти коды и храните их в надежном месте, так как они могут понадобиться вам в случае потери доступа к вашему устройству 2FA. Важно отметить, что каждый из этих кодов является одноразовым; его можно использовать только один раз, а затем истекает срок действия. После использования одного из них вы можете нацарапать его ручкой или иным образом отметить, что код был использован. Чтобы сгенерировать новый набор кодов, вам нужно будет отключить и снова включить двухфакторную аутентификацию.

Для этого может потребоваться два кода восстановления: один для входа в систему, а другой для отключения. Если вам когда-либо понадобится использовать какой-либо из ваших кодов восстановления, рекомендуется отключить и снова включить его, чтобы как можно скорее сгенерировать новый набор кодов.

Если у вас есть устройство двухфакторной аутентификации, которое просто перестало генерировать правильные коды, убедитесь, что его часы достаточно точны. Известно, что основанный на времени ОП в наших вики не работает с разницей в 2 минуты.

Вам потребуется доступ к кодам восстановления, которые вы предоставили при регистрации, чтобы отменить регистрацию с помощью двухфакторной аутентификации. Для этого вам потребуется использовать не более двух кодов восстановления:

• Вам необходимо авторизоваться. Если вы еще не авторизовались, для этого потребуется ввести код восстановления.
• Перейдите по ссылке Special:OATH и используйте другой код восстановления, чтобы отключить двухфакторную аутентификацию.

Если у вас недостаточно кодов для восстановления, вы можете связаться с Доверием и безопасностью по ca wikimedia.org, чтобы запросить удаление 2FA из вашей учетной записи (пожалуйста, отправьте электронное письмо, используя зарегистрированный адрес электронной почты вашей учетной записи вики). Вам также следует создать задачу на Фабрикаторе, если у вас все еще есть к ней доступ. Пожалуйста, обратите внимание, что удаление 2FA сотрудниками не всегда разрешено.

См. wikitech:Password and 2FA reset#For users для получения инструкций по запросу удаления двухфакторной аутентификации для вашей учётной записи разработчика.

Обратите внимание, что большинство указаний на этой странице относятся к методу ОПОВ. Метод WebAuthn является более экспериментальным и в настоящее время не имеет вариантов восстановления (см. связанная задача разработчика). У WebAuthn есть известная проблема, связанная с тем, что в будущем вы должны выполнять вход в систему в том же проекте, из которого вы ее запускаете (задача отслеживания).

• Концепция многофакторной аутентификации в русской Википедии и элемент Викиданных об этом
• Известные ошибки и запрошенные улучшения двухфакторной аутентификации Викимедиа совместно разрабатываются и отслеживаются в Фабрикаторе.
• OATHAuth — расширение MediaWiki, используемое для этой функции.
• Команда безопасности Викимедиа/Двухфакторная аутентификация для вики-сайтов с CentralAuth
• Справка:Двухфакторная аутентификация на MediaWiki.org