Помощь:Двухфакторная аутентификация

Внедрение в Викимедиа двухфакторной аутентификации (2FA) — это способ повысить безопасность вашей учетной записи. Если вы включите двухфакторную аутентификацию, каждый раз при входе в учетную запись у вас будет запрошен одноразовый шестизначный код аутентификации. Этот код предоставляется приложением на вашем смартфоне или другом устройстве аутентификации. Чтобы войти в учетную запись, вы должны знать свой пароль и иметь устройство аутентификации для генерации кода.

Двухфакторная аутентификация в проектах Викимедиа в настоящее время является экспериментальной и необязательной (с некоторыми исключениями). Для активации нужно разрешение (oathauth-enable), в настоящее время тестируется администраторами (а также участниками с правами администратора, такими как редакторы интерфейса), бюрократы, проверяющие участников, ревизоры, стюарды, редактирующими спам-фильтр и тестировщики двухфакторной аутентификации.

• Группы, требующие двухфакторной аутентификации

• У вас должны быть права (oathauth-enable)
• У вас должен быть установлен клиент одноразового алгоритма паролей (Time-based One-time Password Algorithm, TOTP). Для большинства пользователей это будет приложение для телефона или планшета. Обыкновенно рекомендуемые приложения включают:
  • С открытым исходным кодом: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox и Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • Проприетарные: Authy (Android, iOS), Google Authenticator (Android iOS)
  • General comparison of many common OTP applications which could be used as TOTP client for 2FA (English Wikipedia)
  • Вы также можете использовать настольный клиент, такой как OATH Toolkit (Linux, macOS с помощью Homebrew), или WinAuth (Windows). Имейте в виду, что если вы входите в систему с компьютера, на котором генерируются коды TOTP, этот подход не защищает вашу учетную запись, если злоумышленник получает доступ к вашему компьютеру.
  • Менеджеры паролей, такие как 1Password, Bitwarden и KeePass, также имеют тенденцию поддерживать или иметь плагины для поддержки TOTP. Этот способ имеет те же ограничения, что и у способов выше, но, возможно, стоит его попробовать, если вы уже используете менеджер паролей для других вещей.

    

• Перейдите на страницу Special:OATH в том проекте, где у вас есть соответствующие права доступа (см. выше) (эта ссылка доступна из ваших персональных настроек). (Для большинства участников это будет не здесь, не в Мета-вики.)
• Special:OATH представит вам QR-код, содержащий «Двухфакторное имя учетной записи» и «Двухфакторный секретный ключ». Это необходимо для соединения вашего клиента с сервером.
• Отсканируйте QR-код, или введите в свой клиент TOTP двухфакторное имя учётной записи и ключ.
• Чтобы завершить регистрацию, введите в окне OATH код аутентификации из своего клиента TOTP.

ВНИМАНИЕ: Вам также будет предоставлена серия из 10-и одноразовых скретч-кодов. Вам следует распечатать копию этой страницы и хранить её в тайне. Если вы утратите свой клиент TOTP или с ним возникнут проблемы, ваша учётная запись будет заблокирована, если у вас не будет доступа к этим кодам.

Если вы выберете при входе на сайт эту опцию, вам в дальнейшем не нужно будет вводить код аутентификации при использовании того же браузера. Такие действия, как выход из учётной записи или очистка кеша браузера, потребуют кода при следующем входе в систему.

Некоторые действия, связанные с безопасностью, такие как изменение адреса электронной почты или пароля, могут потребовать повторной аутентификации с кодом, даже если вы выбрали опцию «Оставаться в системе».

Двухфакторная аутентификация не используется при использовании OAuth или для паролей ботов для входа с помощью API.

Вы можете использовать OAuth или пароли ботов, чтобы ограничить сеансы API конкретными действиями, в то же время используя двухфакторную аутентификацию для защиты своего полного доступа. Обратите внимание: OAuth и пароли ботов нельзя использовать для интерактивного входа в веб-сайт, только через API.

Для примера, такие инструменты, как AutoWikiBrowser (AWB), пока не поддерживает двухфакторную аутентификацию, но может использовать пароли ботов.

Если у вас уже включена двухфакторная аутентификация, отзыв разрешения, позволяющего вам использовать этот механизм, НЕ ПРИВЕДЁТ к её отключению. Чтобы отключить её, вам потребуется выполнить описанный ниже процесс.

• Перейдите на Special:OATH или к своим персональным настройкам. Если вы больше не состоите в группах, которые имеют доступ к двухфакторной аутентификации, вы всё равно можете отключить её на Special:OATH.
• На странице отключения двухфакторной аутентификации для завершения процесса используйте устройство аутентификации для генерации кода.

Если у вас есть устройство двухфакторной аутентификации, которое просто перестало генерировать правильные коды, убедитесь, что его часы достаточно точны. Известно, что основанный на времени OTP в наших вики не работает с разницей 2 минуты.

См wikitech:Сброс пароля и двухфакторной аутентификации#Для пользователей для получения инструкций по запросу удаления двухфакторной аутентификации для вашего Учетная запись разработчика.

Обратите внимание, что большинство указаний на этой странице относятся к методу TOTP. Метод WebAuthn является более экспериментальным и в настоящее время не имеет вариантов восстановления (см. связанная задача разработчика). WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).