Wikimore

Rövidítése:
H:2FA

Ez az oldal a kétlépcsős hitelesítés működését ismerteti a Wikimedia Alapítvány wikijein. Elolvashatod a funkciót biztosító kiterjesztés dokumentációját is.

A Wikimédia által bevezetett kétlépcsős hitelesítés (2FA) egy módja annak, hogy megerősítsd a fiókod biztonságát. Ha engedélyezed a kétlépcsős hitelesítést, a jelszavad mellett minden alkalommal egy egyszer használatos, hatjegyű hitelesítési kódot is meg kell adnod. Ezt a kódot egy alkalmazás biztosítja a okostelefonodon vagy egyéb hitelesítő eszközödön. A bejelentkezéshez tehát ismerned kell a jelszavadat, és rendelkezned kell a hitelesítési eszközzel, amely a kódot generálja.

Érintett fiókok

A kétlépcsős hitelesítés jelenleg kísérleti és opcionális a Wikimédia-projekteken (néhány kivételtől eltekintve). A bekapcsolásához szükség van az (oathauth-enable) jogosultságra. Ez jelenleg éles tesztelés alatt áll, és elérhető az alábbi felhasználói csoportok számára: adminisztrátorok (valamint azok a felhasználók, akik adminisztrátorszerű jogosultságokkal rendelkeznek, például felületmódosítók), bürokraták, ellenőrök, felügyelők, stewardok, szerkesztési szűrő kezelők és a globális OATH-tesztelők csoport tagjai.

Kötelezően használó felhasználói csoportok

Csoportok, amelyeknél kötelező a kétlépcsős hitelesítés
May 2025 announcement: Mandatory two-factor authentication for users with some extended rights

A kétlépcsős hitelesítés engedélyezése

Rendelkezned kell (oathauth-enable) jogosultsággal (alapértelmezés szerint ez elérhető az adminisztrátorok, bürokraták, felügyelők, ellenőrök és más kiemelt jogosultságú felhasználói csoportok számára).
Rendelkezned kell egy időalapú egyszer használatos jelszó algoritmust (TOTP) támogató klienssel, vagy telepítened kell egyet. A legtöbb felhasználó számára ez egy telefonra vagy táblagépre telepített alkalmazást jelent. Bármely szabványos alkalmazás használható, a népszerűbbek közé tartozik például:
- Nyílt forráskódú: Aegis (Android, F-Droid), FreeOTP (Android, F-Droid, iOS), 2FAS (Android, iOS), Bitwarden Authenticator (Android, iOS), Authenticator (iOS), Authenticator.cc (Chrome, Firefox és Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
- Zárt forráskódú: Google Authenticator (Android, iOS) és a legtöbb nagy technológiai cég saját hitelesítő alkalmazásai.
- Általános összehasonlítás számos elterjedt egyszer használatos jelszót (OTP) generáló alkalmazásról, amelyek TOTP-klienstként használhatók 2FA-hoz (angol Wikipédia).
- Használhatsz asztali klienst is, például az OATH Toolkit-et (Linux, macOS – Homebrew-n keresztül), vagy a WinAuth-ot (Windows). Ne feledd, hogy ha ugyanarról a számítógépről jelentkezel be, amelyen a TOTP-kódokat generálod, ez a módszer nem védi meg a fiókodat abban az esetben, ha egy támadó hozzáférést szerez a gépedhez.
- Az olyan jelszókezelők, mint a Bitwarden, a KeePass és a Proton Pass, szintén gyakran támogatják (vagy bővítményekkel támogatják) a TOTP használatát. Ez ugyanazokkal a korlátokkal jár, mint a fent említett megoldások, de érdemes lehet megfontolni, ha már egyéb célokra is használod ezeket az eszközöket.
  A kétlépcsős hitelesítés engedélyezésének áttekintése a beállításokban
Nyisd meg a Special:OATH oldalt azon a projekten, ahol rendelkezel a fent említett jogosultságok valamelyikével (ez a hivatkozás elérhető a beállításaidból is). (A legtöbb felhasználó számára ez nem a Meta-Wikin lesz.)
A Special:OATH oldalon megjelenik egy QR-kód, amely tartalmazza a kétlépcsős fiók nevét és a kétlépcsős titkos kulcsot. Ezek szükségesek ahhoz, hogy a kliensedet összepárosítsd a szerverrel.
Olvasd be a QR-kódot a TOTP-klienseddel, vagy add meg benne kézzel a kétlépcsős fiók nevét és a titkos kulcsot.
Írd be a TOTP-kliensed által generált hitelesítési kódot az OATH-felületen, hogy befejezd a regisztrációt.

FIGYELMEZTETÉS: A rendszer 10 darab egyszer használatos helyreállító kódot is meg fog jeleníteni. Ezt az oldalt érdemes kinyomtatni és biztonságos helyen tárolni. Ha elveszíted, vagy problémád adódik a TOTP-klienseddel, ezek nélkül a kódok nélkül nem fogsz tudni hozzáférni a fiókodhoz.

Bejelentkezés

Add meg a felhasználónevedet és jelszavadat, majd küldd el, ahogyan korábban.
Írd be az egyszer használatos, hatjegyű hitelesítési kódot, amelyet a TOTP-kliens generál. Megjegyzés: ez a kód körülbelül harminc másodpercenként változik. Ha a rendszer többször is elutasítja a kódot, ellenőrizd, hogy az eszközöd órája pontos-e, azon amelyiken a hitelesítő alkalmazás fut.

Maradjak bejelentkezve

Ha bejelentkezéskor kiválasztod ezt az opciót, általában nem kell újra megadnod a hitelesítési kódot ugyanazon böngésző használata esetén. Az olyan műveletek azonban, mint a kijelentkezés vagy a böngésző sütijeinek törlése, a következő bejelentkezéskor ismét kód megadását igénylik.

Bizonyos biztonsági szempontból érzékeny műveletek – például az e-mail címed vagy jelszavad megváltoztatása – esetén előfordulhat, hogy a „maradjak bejelentkezve” opció ellenére is újra meg kell adnod a hitelesítési kódot.

API-hozzáférés

A kétlépcsős hitelesítés nem kerül alkalmazásra, amikor OAuth-t vagy botjelszavakat használsz bejelentkezéshez az API-n keresztül.

Használhatsz OAuth-ot vagy botjelszavakat arra, hogy az API-hozzáférést bizonyos műveletekre korlátozd, miközben a teljes fiókhozzáférésedet továbbra is kétlépcsős hitelesítés védi. Fontos megjegyezni, hogy az OAuth és a botjelszavak nem használhatók interaktív bejelentkezésre a weboldalon, csak az API-n keresztül.

Például az olyan eszközök, mint az AutoWikiBrowser (AWB), még nem támogatják a kétlépcsős hitelesítést, de használhatók botjelszavakkal. További információt itt találsz a beállítás módjáról.

A kétlépcsős hitelesítés letiltása

Ha a kétlépcsős hitelesítés már engedélyezve van a fiókodban, a 2FA bekapcsolására jogosító engedély eltávolítása NEM kapcsolja ki a kétlépcsős hitelesítést. A letiltásához az alábbi folyamatot kell követned.

Lépj a(z) Special:OATH oldalra vagy a beállításaidhoz. Ha már nem vagy tagja azoknak a csoportoknak, amelyek jogosultak a kétlépcsős hitelesítés engedélyezésére, akkor is le tudod tiltani azt a(z) Special:OATH oldalon keresztül.
A kétlépcsős hitelesítés letiltása oldalon használd a hitelesítő eszközödet egy kód generálásához, hogy befejezhesd a folyamatot.

Helyreállító kódok

A kétlépcsős hitelesítés engedélyezésekor kapsz egy listát tíz darab egyszer használatos helyreállító kóddal. Nyomtasd ki ezeket a kódokat, és tárold biztonságos helyen, mert szükséged lehet rájuk, ha elveszíted a hozzáférést a 2FA-eszközödhöz. Fontos megjegyezni, hogy minden egyes kód csak egyszer használható fel; egy használat után érvénytelenné válik. Használat után áthúzhatod tollal vagy más módon jelezheted, hogy a kódot már felhasználtad. Ha új kódokat szeretnél generálni, előbb le kell tiltani, majd újra engedélyezni kell a kétlépcsős hitelesítést.

Kétlépcsős hitelesítés letiltása hitelesítő eszköz nélkül

Előfordulhat, hogy két helyreállító kódra is szükség lesz: egyre a bejelentkezéshez, és egy másikra a letiltáshoz. Ha valaha bármelyik helyreállító kódodat használnod kell, ajánlott minél előbb letiltani, majd újra engedélyezni a kétlépcsős hitelesítést, hogy friss kódkészletet kapj.

Hozzáférés visszaállítása elveszett vagy sérült hitelesítő eszköz esetén

Ha a meglévő 2FA-eszközöd egyszerűen nem generál helyes kódokat, ellenőrizd, hogy az eszköz órája megfelelő pontosságú-e. A Wikimédia-wikiken használt időalapú egyszer használatos jelszavak már akár két perces eltérés esetén is hibásan működhetnek.

A kétlépcsős hitelesítés letiltásához szükséged lesz azokra a helyreállító kódokra, amelyeket a beállításkor kaptál. A folyamat során akár két helyreállító kódot is fel kell használnod:

Be kell jelentkezned. Ha még nem vagy bejelentkezve, ehhez egy helyreállító kódot kell használnod.
Látogasd meg a(z) Special:OATH oldalt, és használj egy másik helyreállító kódot a kétlépcsős hitelesítés letiltásához.

Ha nem rendelkezel elegendő helyreállító kóddal, kapcsolatba léphetsz a Trust and Safety csapattal a következő címen: cawikimedia.org, és kérheted a kétlépcsős hitelesítés eltávolítását a fiókodból (kérjük, az e-mailt a wikifiókodhoz regisztrált e-mail-címről küldd el). Ha még hozzáférsz a Phabricator rendszerhez, hozz létre ott is egy feladatot. Fontos megjegyezni, hogy a munkatársak által végzett 2FA-eltávolítás nem minden esetben engedélyezett.

Lásd a wikitech:Password and 2FA reset#For users oldalon a fejlesztői fiókodra vonatkozó 2FA-eltávolítás kérelmezésének lépéseit.

Webes hitelesítési módszer

Fontos megjegyezni, hogy az ezen az oldalon található útmutatások többsége a TOTP-módszerre vonatkozik. A WebAuthn módszer jelenleg kísérleti jellegű, és még nem rendelkezik helyreállítási lehetőségekkel (lásd: kapcsolódó fejlesztői feladat).

Lásd még

A többtényezős hitelesítés fogalma az angol Wikipédiában, valamint egy Wikidata-eleme
A Wikimédia kétlépcsős hitelesítésének ismert hibái és kért fejlesztései, amelyeken a közösség együtt dolgozik és a Phabricatorban követi nyomon
A OATHAuth a MediaWiki azon kiterjesztése, amely ezt a funkciót biztosítja
Wikimédia Biztonsági Csapat / Kétlépcsős hitelesítés a CentralAuth wikikben
Segítség:Kétlépcsős hitelesítés a MediaWiki.org oldalon

Category:User groups/hu#Two-factor%20authentication/hu Category:Security/hu Category:Handbook Wikimedia-specific