Pomoc:Uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe można włączyć w preferencjach.

Uwierzytelnianie dwuskładnikowe (w skrócie: 2FA) jest mechanizmem, który pozwala zmniejszyć prawdopodobieństwo przejęcia konta na Wikipedii. Po aktywacji takiej metody logowania, użytkownik (oprócz podania loginu i hasła) musi przejść dodatkowy krok weryfikacji. To, jak ten krok wygląda, zależy od wybranego w preferencjach drugiego składnika.

Dwuetapową weryfikację domyślnie mogą aktywować wszyscy użytkownicy, którzy posiadają zaawansowane uprawnienia.

Aktywacja uwierzytelniania dwuskładnikowego

edytuj
 
Wybór jednej z dostępnych metod weryfikacji dwuetapowej.

Aktywowanie i zarządzanie dwuetapową weryfikacją jest możliwe na stronie Specjalna:Zarządzanie weryfikacją dwuetapową (link do tej strony znajduje się również w preferencjach, na karcie „Konto użytkownika”).

Po otwarciu wspomnianej strony specjalnej, wyświetlą się opcje dostępne jako drugi etap weryfikacji. Możesz przeczytać ich opis i wybrać tę, która bardziej Tobie odpowiada (klikając „Włącz”). Jeśli nie jesteś pewny(-a), która będzie lepsza, lub nie rozumiesz różnicy, sugerowaną opcją będzie TOTP (ograniczone czasowo hasło jednorazowe). Dokładniejszy ich opis znajduje się poniżej.

 
Tak wygląda strona, na której można skonfigurować uwierzytelnianie dwuskładnikowe metodą TOTP.

Strona, która się wyświetli, zawiera instrukcję, jak aktywować wybraną metodę weryfikacji dwuetapowej. W przypadku, gdy wybierzesz TOTP, przygotuj swoją aplikację uwierzytelniającą na swoim telefonie (np. Authy lub Google Authenticator – o aplikacjach więcej poniżej).

Korzystając z aplikacji uwierzytelniającej, zeskanuj kod QR. Jeśli kod QR nie działa, to możesz wprowadzić dane wyświetlane poniżej tego kodu (nazwę użytkownika i tajny klucz). Gdy proces dodawania konta do Twojej aplikacji się powiedzie, zapisz sobie kody zapasowe.

Kody zapasowe są bardzo ważne. Musisz zapisać je sobie teraz, bo nie wyświetlą się już nigdy później (możesz je wydrukować i schować w bezpiecznym miejscu lub zapisać na pendrive). Kody przydadzą się wtedy, gdy stracisz dostęp do aplikacji, która generuje kody. Jeśli nie zapiszesz ich, możesz w przyszłości utracić dostęp do swojego konta! Jeśli zgubisz same kody, to nie ma powodu do paniki – jeśli nadal masz aplikację uwierzytelniającą, to możesz rozłączyć 2FA i ponownie wykonać podłączenie TOTP.

Po zapisaniu kodów zapasowych, przepisz do pola tekstowego kod, który wyświetla skonfigurowana przed chwilą aplikacja uwierzytelniająca, a następnie kliknij „Prześlij”. W tym momencie uwierzytelnianie dwuskładnikowe jest już aktywne na Twoim koncie.

WebAuthn

edytuj
 
Dodawanie klucza zabezpieczeń dla WebAuthn.

Na stronie, która się pokaże, będziesz mieć opcję dodania nowego klucza zabezpieczeń. Musisz tam nadać nazwę dla klucza, którego użyjesz (może być dowolna, służy ona tylko do tego, by odróżnić od siebie poszczególnie klucze, jakie dodasz).

Po kliknięciu „Dodaj klucz” przeglądarka poprosi Cię o wpięcie klucza zabezpieczeń do komputera i potwierdzenie go (np. poprzez dotknięcie klucza lub wpisanie kodu PIN).

Ze względu na to, że w tej metodzie nie ma kodów zapasowych, usilnie zaleca się dodanie minimum dwóch kluczy. Wtedy utrata jednego nie spowoduje utraty dostępu do konta – zawsze będzie można skorzystać z tego drugiego.

Logowanie się

edytuj

Kiedy spróbujesz zalogować się na swoje konto, po pytaniu o nazwę użytkownika i hasło, ukaże się drugi komunikat, z prośbą o potwierdzenie logowania za pomocą drugiego składnika.

W przypadku, gdy wybrałeś(-aś) opcję TOTP, będzie to pytanie o 6-cyfrowy kod (token), który wygeneruje dla Ciebie aplikacja uwierzytelniająca. Kody generowane są co 30 sekund i ważne około 2 minut. MediaWiki pozwoli Ci się zalogować tylko wtedy, gdy kod będzie poprawny.

Jeśli Twoją opcją logowania jest WebAuthn, zostaniesz poproszony(-a) o skorzystanie z klucza zabezpieczeń. Zazwyczaj będzie to osobne urządzenie wkładane do portu USB komputera, ale niektóre komputery mogą mieć wbudowany moduł TPM, który może pełnić taką funkcję. Co istotne, jeśli korzystasz z tej metody, musisz się logować na wiki, gdzie skonfigurowałeś(-aś) uwierzytelnianie dwuskładnikowe.

Dezaktywacja uwierzytelniania dwuskładnikowego

edytuj

Aby dezaktywować uwierzytelnianie dwuskładnikowe, przejdź na stronę Specjalna:Zarządzanie weryfikacją dwuetapową i naciśnij przycisk „Wyłącz” przy nazwie aktualnie włączonej metody uwierzytelniania. MediaWiki poprosi Cię następnie o zatwierdzenie tej operacji, poprzez podanie 6-cyfrowego kodu lub korzystając z klucza zabezpieczeń.

Weryfikacja dwuetapowa nie jest wyłączana automatycznie, gdy tracisz uprawnienia nadające dostęp do 2FA – możesz wtedy nadal korzystać z uwierzytelniania dwuetapowego. Możesz je też dezaktywować w dowolnie wybranym momencie.

Dostępne opcje drugiego składnika

edytuj
 
Tak może wyglądać aplikacja, która generuje kody dla Twojego konta

Ta metoda opiera się na 6-cyfrowych kodach, które są generowane przez przeznaczoną do tego aplikację lub urządzenie. Nawet jeśli ktoś podejrzy, jak wpisujesz kod z aplikacji, nie będzie mógł go ponownie wykorzystać, ponieważ ich ważność jest ograniczona do około 2 minut. W aplikacji powinno być odliczanie czasu ważności kodu, kod jest ważny jeszcze przez kilka sekund po tym jak zniknie. Możesz jednak zawsze poczekać na następny kod.

Przykładowe aplikacje: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android, iOS). Więcej aplikacji jest wypisanych na stronie pomocy na Meta Wiki.

Pamiętaj, że w wypadku metody TOTP musisz mieć zapisane kody zapasowe (jak wspomniano powyżej). Kody zapasowe nie mają ograniczonego terminu ważności – mogą być wykorzystane po dowolnym czasie od ich wygenerowania (ale każdy tylko raz), dlatego przechowuj je w bezpieczny sposób i nie udostępniaj innym. Ktoś, kto zna Twoje hasło i przynajmniej jeden kod zapasowy, będzie mógł się zalogować na Twoje konto.

WebAuthn

edytuj
 
Yubikey – przykładowy klucz zabezpieczeń, którego możesz użyć razem z WebAuthn.

WebAuthn wykorzystuje do działania sprzętowe klucze zabezpieczeń. Są to moduły, które przechowują w pamięci klucze kryptograficzne i mogą je wykorzystywać do potwierdzenia Twojej tożsamości.

Klucze zabezpieczeń automatycznie rozpoznają, do jakiej strony internetowej się logujesz (korzystając z adresu WWW), co powoduje, że logowanie za ich pomocą jest odporne na ataki phishingowe (tj. poszywanie się atakujących pod inną stronę). W przypadku Wikimediów może to być niedogodnością, ponieważ wtedy możliwe będzie logowanie się wyłącznie na jednej wiki – tej, gdzie skonfigurowano logowanie przez WebAuthn.

Ta metoda nie jest zalecana dla większości użytkowników, ponieważ może wymagać odpowiedniego skonfigurowania przeglądarki internetowej, aby akceptowała pliki cookies z innych domen. W przeciwnym wypadku użytkownik może stracić możliwość zalogowania się na niektóre wiki.

Pamiętaj, że klucz zabezpieczeń można zgubić lub uszkodzić. Z tego powodu, jeśli korzystasz z tej metody, powinieneś/powinnaś mieć dodane przynajmniej dwa klucze. Wtedy po utracie tego pierwszego nadal będzie możliwe zalogowanie się do wiki.

Pytania i odpowiedzi

edytuj

Kto może korzystać z uwierzytelniania dwuskładnikowego?

edytuj

Uwierzytelnianie dwuskładnikowe mogą sobie skonfigurować osoby o następujących uprawnieniach:

Jeśli utracisz te uprawnienia, a masz włączoną weryfikację dwuetapową, nie zostanie ona automatycznie wyłączona. Możesz to zrobić ręcznie lub dalej z niej korzystać.

Chcę korzystać z 2FA, mimo że nie jestem administratorem. Co mogę zrobić?

edytuj

Jeśli nie posiadasz na żadnej wiki odpowiednich uprawnień, możesz poprosić na Meta Wiki o nadanie uprawnień testera weryfikacji dwuetapowej. Uzyskany w ten sposób dostęp nie różni się niczym od sytuacji posiadania wyższych uprawnień (np. nie trzeba zgłaszać wrażeń z testów, nie dostaje się też żadnej eksperymentalnej wersji). Wniosek możesz napisać na stronie Steward requests/Global permissions na Meta. Uprawnienia zostaną nadane, jeśli nie ma żadnego powodu, by ich odmówić.

Czy mogę korzystać z opcji „Nie wylogowuj mnie”, kiedy skonfiguruję 2FA?

edytuj

Tak, możesz normalnie korzystać z tej opcji. Jeśli wybierzesz podczas logowania opcję „Nie wylogowuj mnie”, prośby o skorzystanie z drugiego składnika będą wyświetlane tylko wtedy, gdy pojawi się prośba o podanie hasła.

Czy 2FA wpływa na korzystanie z zewnętrznych narzędzi?

edytuj

Niektóre narzędzia zewnętrzne wymagają, by się do nich zalogować kontem Wikimedia. Jeśli narzędzie w czasie logowania przenosi Cię na jedną z wiki, gdzie pojawia się prośba o dostęp i przyznanie aplikacji pewnych uprawnień, to włączenie 2FA nie wpłynie na jej działanie ani na sposób logowania. Proces nadawanie dostępu będzie wyglądał tak jak zwykle.

Natomiast w sytuacji, gdy aplikacja pyta Cię o login i hasło (zamiast przekierowywać na wiki), wtedy włączenie uwierzytelniania dwuskładnikowego uniemożliwi skorzystanie z takiej aplikacji. Można jednak to obejść, generując hasło bota, które nie wymaga potwierdzania drugim składnikiem.

Czy ktoś może sprawdzić, czy korzystam z 2FA?

edytuj

Tylko stewardzi i pracownicy Wikimedia Foundation mogą sprawdzić, czy dane konto ma włączoną weryfikację dwuetapową. Podobnie jak w przypadku działań checkuserów, wszystkie sprawdzenia są zapisywane w rejestrze (niejawnym) i za każdym razem należy podać powód sprawdzenia.

Co jeśli stracę dostęp do drugiego składnika logowania?

edytuj

Jeśli utracisz dostęp do aplikacji uwierzytelniającej i kodów zapasowych lub do wszystkich kluczy zabezpieczeń, istnieje możliwość skontaktowania się z zespołem Trust & Safety WMF, który może pomóc w takiej sytuacji (ca wikimedia.org).

Pracownicy Wikimedia Foundation zweryfikują wtedy, czy zgłoszenie pochodzi od osoby, za którą się podaje. Jeśli będą mieli absolutną pewność, że jest ono wiarygodne, mogą dezaktywować 2FA na Twoim koncie. Nie jest to jednak gwarantowane.