Nápověda:Dvoufázové ověření
Dvoufaktorová autentizace (2FA, česky správně dvoufázové ověření) je jednou z možností, jak posílit ochranu Vašeho účtu proti zneužití. Pokud si tuto funkci zapnete, budete při každém přihlášení ke svému účtu kromě hesla zadávat také jednorázový šestičíselný kód, který získáte z aplikace na svém smartphonu nebo jiného zařízení. Pro úspěšné přihlášení je tedy nutné mít kromě znalosti hesla také fyzické ověřovací zařízení.
Dotčené účty
Dvoufázové ověření je na serverech Wikimedia prozatím ve fázi experimentálního, dobrovolného stavu (s určitými výjimkami). Aktivace této funkce vyžaduje přístup (oathauth-enable)
, který se aktuálně testuje u správců (a dalších uživatelů s podobnými právy, jako jsou třeba editoři uživatelského rozhraní), byrokratů, revizorů, utajovatelů, stevardů, správců editačních filtrů a globální skupiny testerů.
Uživatelské skupiny, pro něž je 2FA povinností
Jak povolit dvoufázové ověření
- Mít přístup k
(oathauth-enable)
(normálně je tato možnost přístupná správcům, byrokratům, utajovatelům, revizorům a ostatním privilegovaným uživatelským skupinám). - Vlastnit nebo nainstalovat klienta časově řízeného jednorázového hesla (TOTP, Time-based One-time Password). Pro většinu uživatelů to bude aplikace v chytrém telefonu nebo tabletu. Obecně doporučované aplikace jsou:
- Otevřený software: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
- Uzavřený sofware: Authy (Android, iOS), Google Authenticator (Android, iOS)
- Obecné srovnání mnoha běžných OTP aplikací, která mohou být použita jako TOTP klient pro 2FA (anglická Wikipedie)
- Také lze použít klienta na PC, jako například OATH Toolkit (Linux, macOS s Homebrew) nebo WinAuth (Windows). Mějte na paměti, že pokud se přihlásíte z počítače, který je použit pro generování kódů, tento přístup nebude chránit váš účet v případě, kdy by se útočník zmocnil přístupu k vašemu počítači.
- Správci hesel jako například 1Password, Bitwarden a KeePass také podporují nebo mají pluginy k podpoře TOTP. K tomu platí stejná omezení jako výše, ale může se vyplatit tuto možnost prozkoumat, pokud již jeden takový správce pro další účely používáte.
- Klikněte na Special:OATH v projektu, kde máte jedno z výše uvedených oprávnění (tento odkaz je také přístupný z nastavení). (Pro většinu uživatelů to nebude na Meta-wiki.)
- Special:OATH vám předloží QR kód obsahující Název účtu a tajný klíč. Tyto informace jsou nutné ke spárování klienta se serverem.
- Naskenujte QR kód svou TOTP aplikací, nebo do ní vepište název účtu a klíč.
- Zadejte autentizační kód ze svého TOTP klienta do OATH obrazovky k dokončení spárování.
Přihlašování
- Vyplňte své uživatelské jméno a heslo a formulář odešlete, jako obvykle.
- Zadejte jednorázový šestimístný kód poskytnutý vaší TOTP aplikací. Poznámka: Tento kód se mění zhruba každých 30 sekund.
Zůstat přihlášen
Pokud zvolíte při přihlašování tuto možnost, nebudete muset normálně zadávat ověřovací kód, pokud budete používat stejný prohlížeč. Akce jako odhlášení nebo smazání cookies v prohlížeči budou při dalším přihlášení vyžadovat opět kód.
Některé akce citlivé na bezpečnost, jako například změna e-mailové adresy nebo hesla, může vyžadovat opětovné ověření kódem, pokud zvolíte možnost zůstat přihlášen.
Přístup API
Dvoufázové ověření není použito, pokud používáte OAuth nebo hesla bota k přihlášení API.
Můžete použít OAuth nebo hesla bota k omezení API sezení na specifické akce, zatímco stále používáte dvoufázové ověření k ochraně plného přístupu. Mějte, prosíme, na paměti, že OAuth ani hesla bota nemohou být použita k interaktivnímu přihlášení na web, pouze do API.
Například nástroje jako AutoWikiBrowser (AWB) ještě nepodporují dvoufázové ověření, ale můžete použít hesla bota. Také můžete zjistit více informací, jak to nastavit.
Vypnutí dvoufázového ověření
Pokud již máte 2FA zapnuté, odebrání práv, která vám umožňují přístup k 2FA vám dvoufázové ověření NEVYPNE. Musíte postupovat podle návodu níže. |
- Jděte na stránku Special:OATH nebo nastavení. Pokud již nejste členem skupiny, která má oprávnění k přístupu, můžete 2FA stále vypnout na stránce Special:OATH.
- Na stránce vypnout dvoufázové ověření použijte své ověřovací zařízení k vygenerování kódu pro dokončení procesu.
Záložní kódy
Pokud si zapnete dvoufázové ověření, bude vám poskytnut seznam deseti jednorázových záložních kódů. Prosíme, vytiskněte si tyto kódy a uložte si je na bezpečné místo, neboť je můžete potřebovat v případě ztráty svého ověřovacího zařízení. Je důležité si uvědomit, že každý z těchto kódů lze použít pouze jednou, poté kód pozbývá platnosti. Poté, co jeden kód použijete, můžete si jej škrtnout propiskou nebo jinak poznačit, že tento kód již byl použit. K vygenerování nové sady kódů si musíte vypnout a znovu zapnout dvoufázové ověření.
Vypnutí dvoufázového ověření bez ověřovacího zařízení
Tento postup může vyžadovat dva záložní kódy: jeden k přihlášení, druhý k vypnutí. Pokud byste potřeboval/-a někdy použít některý ze záložních kódů, je doporučeno 2FA vypnout a znovu zapnout k co nejdřívějšímu vygenerování nové sady kódů.
Obnova účtu ze ztraceného nebo poškozeného ověřovacího zařízení
Pokud máte existující 2FA zařízení, které prostě přestalo generovat správné kódy, zkontrolujte, zda je správně synchronizován čas. Časově závislé OTP na našich wiki jsou známé tím, že nefungují s dvouminutovou odchylkou.
Budete potřebovat přístup k záložním kódům, které vám byly poskytnuty při zapínání dvoufázového ověření k vypnutí. To bude vyžadovat užití dvou záložních kódů k docílení následujícího:
- Potřebujete být přihlášeni. Pokud již nejste, to bude vyžadovat užití záložního kódu.
- Navštivte Special:OATH a použijte další záložní kód k vypnutí dvoufázového ověření.
Pokud nemáte dostatek záložních kódů, budete muset kontaktovat Důvěru a bezpečnost na cawikimedia.org a požádat je o odstranění 2FA z vašeho účtu (prosíme, odšlete email z adresy, kterou jste použil/-a při registraci z vašeho wiki účtu). Také byste měl/-a vytvořit požadavek na Phabricatoru, pokud na něj stále máte přístup. Mějte na paměti, že odstranění 2FA personálem není vždy zaručené.
Vizte stránku wikitech:Password and 2FA reset#For users (anglicky) pro instrukce k podání žádosti o odstranění 2FA pro váš účet vývojáře.
Metoda ověření na webu
Prosíme, mějte na paměti, že většina postupů na této stránce je zaměřena na metodu TOTP. Metoda pomocí WebAuthn je více experimentální a v současnosti nemá možnosti obnovy přístupu (vizte odpovídající vývojářský požadavek). WebAuthn má známou chybu, kde musíte uskutečnit budoucí přihlášení na stejném projektu, ze kterého metodu zapínáte (požadavek na Phabricatoru).
Vizte též
- Koncept vícefázového ověření na české Wikipedii a odpovídající položce Wikidat
- Známé chyby a požadavky k vylepšení dvoufázového ověření Wikimedia jsou sledovány a zpracovávány na Pabricatoru
- OATHAuth je MediaWiki rozšíření, které je pro tuto funkci použito
- Bezpečnostní tým Wikimedia/Dvoufázové ověření pro wiki na CentralAuth
- Nápověda:Dvoufázové ověření na MediaWiki.org