Help:Two-factor authentication/uk

Скорочення:
H:2FA
Ця сторінка описує двофакторну автентифікацію у вікі Фонду Вікімедіа. Також можна ознайомитися з документацією розширення, яке забезпечує цей функціонал.

Впровадження двофакторної автентифікації (2FA) у Вікімедіа — це спосіб зміцнити безпеку вашого облікового запису. Якщо ви увімкнете двофакторну автентифікацію, то при вході, окрім вашого пароля, у вас щоразу запитуватимуть одноразовий шестицифровий код автентифікації. Цей код надає застосунок у вашому смартфоні або іншому пристрої автентифікації. Щоб увійти в систему, ви мусите знати свій пароль і мати при собі пристрій автентифікації, який згенерує код.

Облікові записи, яких це стосується

Наразі двофакторна автентифікація у Вікімедіа експериментальна і вмикається за бажанням (з деякими винятками). Вона вимагає доступу (oathauth-enable), і зараз її на практиці використовують адміністратори (та користувачі з подібними до них правами, як-то редактори інтерфейсу), бюрократи, чек'юзери, приховувачі, стюарди, менеджери фільтрів редагувань та глобальна група OATH-тестерів.

Групи користувачів, для яких це обов'язково

Увімкнення двофакторної автентифікації

  • Треба мати доступ (oathauth-enable) (за замовчуванням доступний для адміністраторів, бюрократів, приховувачів, чек'юзерів та інших привілейованих груп користувачів)
  • Треба мати або встановити TOTP-клієнт (Time-based One-time Password Algorithm). Для більшості користувачів, це буде застосунок на телефоні чи планшеті. Можна використовувати будь-який підхожий застосунок, до популярних належать:
    • З відкритим вихідним кодом: Aegis (Android, F-Droid), FreeOTP (Android, F-Droid, iOS), 2FAS (Android, iOS), Bitwarden Authenticator (Android, iOS), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
    • З закритим кодом: Google Authenticator (Android iOS) та програми-автентифікатори від більшості інших великих техкомпаній
    • Загальне порівняння багатьох поширених OTP-програм, які можна використати як TOTP-клієнт для 2FA (англійська Вікіпедія)
    • Ви також можете скористатися настільним клієнтом, таким як OATH Toolkit (Linux, macOS через Homebrew), або WinAuth (Windows). Пам'ятайте, що якщо ви входите з комп'ютера, який використовується для генерування кодів TOTP, цей підхід не захистить ваш обліковий запис, якщо нападник отримає доступ до вашого комп'ютера.
    • Менеджер паролів, такі як Bitwarden, KeePass та Proton Pass, також підтримують / мають плагіни для підтримки TOTP. Цей варіант має такі ж обмеження, як і вище, але його варто розглянути, якщо ви вже використовуєте його для інших речей.
      Скріншот місця в налаштуваннях користувача, звідки вмикається двофакторна автентифікація
  • Перейдіть на сторінку Special:OATH у тому проєкті, де ви маєте одні з вищевказаних прав (це посилання також є у ваших налаштуваннях). (Для більшості користувачів це не буде тут, на Мета-вікі).
  • На Special:OATH ви побачите QR-код з двофакторним іменем облікового запису і двофакторним секретним ключем. Це потрібно, щоб утворити пару між вашим клієнтом і сервером.
  • Проскануйте QR-код своїм TOTP-клієнтом або введіть у ньому двофакторні ім'я облікового запису і ключ.
  • Введіть код автентифікації зі свого TOTP-клієнта у вікні OATH, щоб завершити запис.

Вхід в систему

Екран входу
  • Уведіть свої ім'я користувача і пароль і надішліть їх, як завжди.
  • Уведіть одноразовий шестизначний код автентифікації, виданий TOTP-клієнтом. Зверніть увагу: ці коди змінюються приблизно що тридцять секунд. Якщо ваш код раз за разом відкидається, перевірте, чи на вашому пристрої, де стоїть програма автентифікації, вказано правильний час.

Залишатися в системі

Якщо ви оберете цю опцію перед входом в систему, то зазвичай не матимете потреби вводити код автентифікації при використанні цього самого браузера. Такі дії, як вихід з системи чи очищення браузерних кук, призведуть до необхідності ввести код при наступному вході в систему.

Деякі чутливі в плані безпеки дії, як-то зміна електронної пошти чи пароля, можуть вимагати повторної автентифікації з кодом, навіть якщо ви обрали залишатися в системі.

API-доступ

Двофакторна автентифікація не використовується при використанні OAuth чи паролів ботів для входу через API.

Ви можете використати OAuth чи паролі ботів, щоб обмежити API-сесії до окремих дій, в такий спосіб продовживши захищати двофакторною автентифікацією свій повний доступ. Зверніть увагу, що OAuth і паролі ботів не можна використати для інтерактивного входу на сайт, а лише для API.

Наприклад, такі інструменти, як Автовікібраузер (AWB) ще не підтримують двофакторну автентифікацію, або можуть використовувати паролі ботів. Ви можете дізнатися більше про те, як це налаштувати.

Вимкнення двофакторної автентифікації

Діалог вимкнення
  • Перейдіть на Special:OATH або у налаштування. Якщо ви більше не належите до груп, яким дозволено вмикати двофакторку, ви можете вимкнути її за допомогою Special:OATH.
  • На сторінці вимкнення двофакторної автентифікації скористайтеся своїм пристроєм автентифікації і згенеруйте код для завершення процесу.

Коди відновлення

Приклади кодів відновлення OATH

Під час процедури увімкнення двофакторної автентифікації, ви отримаєте список з десяти одноразових кодів відновлення. Будь ласка, надрукуйте ці коди і зберігайте їх у безпечному місці, оскільки вони можуть вам знадобитися у випадку втрати доступу до вашого 2FA-пристрою. Важливо пам'ятати, що кожен з цих кодів можна використати лише один раз; після того, як його використали, код стає недійсним. Ви можете викреслити використаний код ручкою чи якось інакше його позначити. Щоб згенерувати новий набір кодів, вам треба вимкнути і знову увімкнути двофакторну автентифікацію.

Вимкнення двофакторної автентифікації без пристрою автентифікації

Для цього вам може знадобитися два коди відновлення: один для входу в систему, а другий для вимкнення. Якщо вам колись знадобиться використати якийсь із кодів відновлення, рекомендовано вимкнути й увімкнути двофакторну автентифікацію, щоб згенерувати новий набір кодів, якомога швидше.

Відновлення з втраченого або зламаного пристрою автентифікації

Якщо у вас є пристрій автентифікації, але він перестав генерувати правильні коди, перевірте, чи годинник на ньому правильно йде. Відомо, що для чутливої до часу системи одноразових паролів у наших вікі різниця у дві хвилини буде завеликою.

Щоб вимкнути двофакторну автентифікацію, вам знадобляться коди відновлення, які ви отримали під час її увімкнення. Процес потребуватиме два коди відновлення для таких дій:

  • Вам треба увійти в систему. Якщо ви ще не увійшли, вам знадобиться один код відновлення.
  • Перейдіть на Special:OATH і використайте інший код відновлення, щоб вимкнути двофакторну автентифікацію.

Якщо у вас немає достатньо кодів відновлення, ви можете звернутися до команди Довіти та безпеки, написавши на ca(_AT_)wikimedia.org, і попросити вимкнути двофакторну автентифікацію для вашого облікового запису (будь ласка, надсилайте листа з електронної пошти, на яку зареєстрований ваш обліковий запис). Ви також маєте створити завдання на Фабрикаторі, якщо все ще маєте до нього доступ. Зверніть, будь ласка, увагу, що вимкнення двофакторки працівниками дозволяється не завжди.

Див. сторінку wikitech:Password and 2FA reset#For users для отримання інструкцій з вимкнення двофакторної автентифікації в обліковому записі розробника.

Метод вебавтентифікації

Зверніть увагу, що більшість інструкцій на цій сторінці стосуються методу TOTP. Метод WebAuthn більш експериментальний і наразі не має опцій відновлення (пор. пов'язане розробницьке завдання). WebAuthn має ту відому проблему, що ви мусите здійснювати всі подальші входи в систему у тому самому проєкті, в якому почали це робити (завдання стеження). WebAuthn наразі недоступний для використання у мобільних застосунках (T230043).

Див. також

Category:User groups/uk#Two-factor%20authentication/uk Category:Security/uk Category:Handbook Wikimedia-specific
Category:Handbook Wikimedia-specific Category:Security/uk Category:User groups/uk