Die EmailAuth -Erweiterung verlangt bei verdächtigen Logins automatisch eine Verifizierung über E-Mail: Nachdem das Passwort korrekt eingegeben wurde, wird eine E-Mail mit einem kompakten und nur einmal verwendbaren Code versendet, der zum Abschließen des Logins eingegeben werden muss. Verdächtige Logins, die eine missbräuchliche Nutzung des Passworts vermuten lassen, werden von der Software anhand verschiedener Kriterien erkannt, darunter, ob das Wiki zuletzt vom selben Gerät oder der selben IP-Adresse aus benutzt wurde.

Benutzer, die die Zwei-Faktor-Authentifizierung aktiviert haben, erhalten keine solchen E-Mails, da dieser Weg als sicherer als derjenige über E-Mail angesehen wird.

Was sollte ich tun, wenn ich einen Code zugesendet bekomme, ohne einen Loginversuch unternommen zu haben?

Wenn du einen Code erhältst, bedeutet das, dass jemand deinen Benutzernamen und dein Passwort eingegeben hat. Im Gegensatz etwa zu E-Mails zum Zurücksetzen eines Passworts, gibt es keine Möglichkeit, dir eine Code zuzusenden, ohne dein Passwort zu kennen. Das bedeutet, dass dein Passwort gestohlen oder erraten wurde. Du solltest es daher so schnell wie möglich ändern und zusätzlich in Erwägung ziehen, auch die Zwei-Faktor-Authentifizierung zu aktivieren.

Indem du dein Passwort mit den folgenden Tipps sicherer machst, kannst du diese Situation verhindern.

• Wähle ein Passwort, das schwierig zu erraten ist, vorzugsweise eine zufällige Aneinanderreihung von Zeichen oder mehrere zufällige Wörter. Die Nutzung eines Passwort-Managers erleichtert dies deutlich. Heutzutage verfügen die meisten Browser ohnehin über einen soliden Passwort-Manager, die Passwörter generieren und speichern können.
• Verwende nicht auf mehreren Websites das selbe Passwort, auch wenn es stark ist. Wenn eine Website ein Datenleck erleidet, sind auch alle deine anderen Accounts einem Risko ausgesetzt.
• Installiere keine raubkopierte Software oder solche mit unbekannter Herkunft, da diese often bösartigen Code enthalten, der deine Tastenanschläge überwacht oder auf andere Weise dein Passwort stiehlt.

Wenn du unerwarteterweise einen Verifizierungscode erhältst, ändere dein Passwort und verlasse dich nicht auf die Verifizierungshürde, wenn du den Angriff abwehren willst. Um die Störungen für verlässliche Benutzer zu minimieren, verlangt das Wiki nur bei tatsächlich verdächtigen Login-Versuchen eine Verifizierung, während es keine Garantie dafür gibt, dass sämtliche zukünftigen Versuche erkannt werden.

Was sollte ich tun, wenn ich mich nicht einloggen kann, weil ich keinen Zugriff auf den Verifizierungscode habe?

Wenn du dich nicht einloggen kannst, weil du keinen Zugriff mehr auf die mit deinem Benutzerkonto verknüpfte E-Mail-Adresse hast, solltest du am besten die Betreiber des Wikis kontaktieren. Im Falle der Wikimedia-Wikis ist dies das Team Trust and Safety, siehe dazu die Anleitung im Meta-Wiki. Allgemein ist es ratsam, in den Einstellungen eine funktionierende und bestätigte E-Mail-Adresse festgelegt zu haben, andererseits gibt es noch weitere Wege, sich nicht mehr einloggen zu können.

Ich bin an der Funktionsweise des Systems interessiert. Kann ich es ausprobieren?

Dies ist installationsspezifisch, in Wikimedia-Wikis, kannst du zum Testen (beispielsweise, weil du eine zugehörige Seite übersetzt), kannst du einen Cookie mit dem Namen forceEmailAuth und dem Wert 1 auf der Domain auth.wikimedia.org setzen: Solange der Cookie besteht, wirst du beim Login immer zur Verifizierung aufgefordert werden.