Довідка:Двофакторна аутентифікація

Ця сторінка — довідка, призначена для подання опису певних аспектів вікіпедійних норм, звичаїв, практик. Вона може відображати різні рівні консенсусу, але це не політика і не настанова.

Скорочення ВП:ДФА ВП:2FA

Двома словами: Адміністратори та редактори з розширеними правами в ідеалі повинні мати двофакторну автентифікацію для безпеки облікового запису. Ця довідка описує варіанти та послідовність дій.

Двофакторна автентифікація (ДФА, 2FA) — метод додаткового захисту вашого облікового запису. Перший «фактор» — це звичайний пароль, стандартний для будь-якого облікового запису. Другий «фактор» — код підтвердження, отриманий від окремої програми на мобільному пристрої чи комп'ютері. ДФА концептуально схожа на токен автентифікації, що деякі банки застосовують для онлайн-банкінгу. Двофакторна автентифікація базується на алгоритмі одноразового пароля на основі часу, а резервним варіантом слугує використання закритого списку одноразових паролей.

Ця довідка описує варіанти та послідовність дій щоб для вашого облікового запису Вікіпедії активувати або відключити ДФА за алгоритмом одноразового пароля на основі часу.

Якщо ви вирішите увімкнути ДФА, можливо, ви захочете активувати параметр «Надсилати листи зі скиданням пароля, лише якщо вказані й адреса електронної пошти, й ім'я користувача» на першій вкладці сторінки своїх налаштувань.

Акаунти кількох адміністраторів Вікіпедії (зокрема, співзасновника Джиммі Вейлз) зламали, а потім використали їх для псування енциклопедії. Облікові записи постраждалих були заблоковані, доки лишались сумніви, що над ними відновили контроль.

Будь-який редактор може покращити безпеку свого облікового запису за допомогою ДФА. Цей засіб рекомендовано для редакторів із розширеними дозволами, наполегливо рекомендовано для адміністраторів і обов'язково для адміністраторів інтерфейсу.

Перш ніж увімкнути ДФА, переконайтеся, що у вас є надійний пароль, який використовується виключно для Вікіпедії. Розгляньте можливість використання менеджера паролів для створення надійних унікальних паролів для кожного вашого облікового запису.

В українській Вікіпедії наступні групи автоматично отримують можливість активувати для себе ДФА:

• Адміністратори
• Адміністратори інтерфейсу
• Бюрократи
• Імпортери
• Приховувачі
• Transwiki-імпортери
• Чек'юзери

Якщо ви бажаєте використовувати ДФА, але не належите до однієї з цих груп, вам потрібно надіслати запит на m:Steward requests/Global permissions#Requests for 2 Factor Auth tester permissions (див. приклади запитів). Необхідність подавати запит стосується більшості звичайних користувачів.

Перевірка увімкненості двофакторної автентифікації[ред. | ред. код]

Щоб дізнатись, чи можливо увімкнути ДФА для вашого облікового запису та її поточний стан, перейдіть до сторінки своїх налаштувань. У розділі «Особові дані» перевірте запис «Двофакторна автентифікація», який має бути між параметрами «Загальний обліковий запис» та «Глобальні налаштування».

• Якщо в записі зазначено «TOTP (одноразовий токен)», це означає, що ДФА наразі увімкнено.
• Якщо в записі зазначено «Нічого не ввімкнено», то ДФА наразі відключено, але можливо увімкнути.
• Якщо немає параметру «Двофакторна автентифікація», то ваш обліковий запис наразі не має доступу до ДФА. За бажанням використовувати цю технологію, вам потрібно буде надіслати запит, як це зазначено у попередньому розділі.

Якщо ви використовуєте менеджер паролів, перевірте, чи підтримує він ДФА (можливі назви 2FA, OTP або TOTP). Використовувати вже налаштований менеджер паролів для ДФА легше, ніж застосовувати нову програму. Наведений нижче список додатків є лише переліком прикладів і не може вважатись вичерпним.

Мобільний додаток є найбезпечнішим і найпростішим способом використання ДФА при наявності смартфона або планшета з Android або iOS. Але якщо у вас немає мобільного пристрою або ви хочете використовувати планшет з Windows — дивіться наступний розділ, як налаштувати програмами для комп'ютерів.

1. Завантажте з Google Play (Android) або з App Store (iOS) додаток для ДФА на свій мобільний пристрій. Ось деякі безкоштовні варіанти:
   • Aegis (Android): відкритий код.
   • AndOTP (Android): відкритий код (розробку припинено).
   • Authenticator (iOS): відкритий код.
   • FreeOTP (Android, iOS): відкритий код.
   • Microsoft Authenticator (Android, iOS).
2. Перейдіть на сторінці своїх налаштувань до Керування двофакторною автентифікацією Натисніть «Увімкнути» поруч із «TOTP (одноразовий токен)» та виконайте процедуру входу до системи через своє ім'я користувача та пароль.
3. З'явиться сторінка «Керування двофакторною автентифікацією». Обов'язково з неї перепишіть (скопіюйте, сфотографуйте) скретч-коди і зберігайте їх у надійному місці. Лише після надійного зберігання скретч-кодів переходьте до наступних дій.
4. Рекомендований метод автентифікації — сканування QR-коду в обраному додатку ДФА. На сторінці налаштування є поле з візерунком, на який потрібно направити камеру свого пристрою. (При першому скануванні можливий запит дозволу на використання камери.) Якщо відсканувати QR-код немає можливості, ви можете ввести «Секретний ключ двофакторної автентифікації», який розташовано нижче QR-коду. Це дасть той самий результат.
5. Внизу сторінки керування ДФА введіть 6-значний код підтвердження, який згенерує ваш додаток. Зверніть увагу, що дія коду обмежена у часі, додаток періодично буде його змінювати. Не намагайтесь запам'ятати старий код, вводьте лише той, що зараз на екрані.

Якщо у вас мобільний додаток, то можете не читати про налаштування на компьютерах і відразу перейти до розділу Скретч-коди.

Якщо ви використовуєте менеджер паролів, перевірте, чи підтримує він ДФА (можливі назви 2FA, OTP або TOTP). Використовувати вже налаштований менеджер паролів для ДФА легше, ніж застосовувати нову програму. Наведений нижче список програм є лише переліком прикладів і не може вважатись вичерпним.

Обробка запитів ДФА на комп'ютерах рекомендована, якщо у вас немає смартфона або планшета. Використання програми ДФА для комп'ютера є дещо менш безпечним, ніж використання додатку для мобільних пристроїв, оскільки хтось із доступом як до вашого комп'ютера, так і до вашого пароля все одно зможе використати ваш обліковий запис. Також цей розділ буде корисним, якщо ваш планшет під керуванням Windows. Для деяких ноутбуків (наприклад, Chromebook) налаштування може відповідати опису з попереднього розділу про смартфони/планшети.

Налаштування на комп'ютерах розглядається на прикладі програм WinAuth, Authenticator, KeeWeb.

WinAuth (Windows)[ред. | ред. код]

WinAuth — рекомендована для користувачів Windows. Вона безкоштовна, з відкритим кодом.

1. Завантажте WinAuth на свій компьютер.
2. Перейдіть на сторінці своїх налаштувань до Керування двофакторною автентифікацією Натисніть «Увімкнути» поруч із «TOTP (одноразовий токен)» та виконайте процедуру входу до системи через своє ім'я користувача та пароль.
3. З'явиться сторінка «Керування двофакторною автентифікацією». Обов'язково з неї перепишіть (скопіюйте, сфотографуйте) скретч-коди і зберігайте їх у надійному місці. Лише після надійного зберігання скретч-кодів переходьте до наступних дій.
4. Натисніть кнопку «Додати» («Add») в нижньому лівому куті. Оберіть «Аутентифікатор».
5. Введіть «Wikipedia» та свій логін (назву свого облікового запису (наприклад, «Wikipedia — Example») у полі «Ім'я» («Name»).
6. Скопіюйте «Секретний ключ двофакторної автентифікації» який розташовано нижче QR-коду на сторінці «Керування двофакторною автентифікацією» та вставте його в програмі WinAuth в поле «Секретний код» («Secret Code»).
7. Залиште для наступного параметра значення «На основі часу» («Time-based»).
8. Натисніть «Перевірити автентифікатор» («Verify authenticator»), а потім натисніть «ОК».
9. Додатково встановіть пароль для WinAuth. Натисніть «ОК».
10. Внизу сторінки керування ДФА введіть 6-значний код підтвердження, який згенерує WinAuth. Зверніть увагу, що дія коду обмежена у часі, WinAuth періодично буде його змінювати. Натисніть кнопку оновлення в WinAuth, щоб створити інший код.

Authenticator (Linux)[ред. | ред. код]

Authenticator — рекомендована для користувачів Linux. Вона безкоштовна, з відкритим кодом.

1. Завантажте Authenticator на свій компьютер. Для роботи потрібен Flatpak, який доступний у всіх дистрибутивах Linux, з Ubuntu включно.
2. Перейдіть на сторінці своїх налаштувань до Керування двофакторною автентифікацією Натисніть «Увімкнути» поруч із «TOTP (одноразовий токен)» та виконайте процедуру входу до системи через своє ім'я користувача та пароль.
3. З'явиться сторінка «Керування двофакторною автентифікацією». Обов'язково з неї перепишіть (скопіюйте, сфотографуйте) скретч-коди і зберігайте їх у надійному місці. Лише після надійного зберігання скретч-кодів переходьте до наступних дій.
4. Натисніть кнопку + у верхньому лівому куті Authenticator.
5. Додайте секретний ключ ДФА до Authenticator одним із цих методів:
   • Використовуйте Authenticator, щоб зробити знімок екрана з QR-кодом:
     1. Натисніть кнопку QR-коду у верхньому правому куті Authenticator.
     2. Розташуйте вказівник перед лівим верхнім кутом QR-коду на сторінці налаштування ДФА.
     3. Утримуйте кнопку миші, перемістіть вказівник у нижній правий кут QR-коду, а потім відпустіть кнопку миші. Форма в Authenticator повинна заповнитись автоматично. (Цей метод може працювати в інших програмах для Linux, але ніколи не спрацює для Windows-програм.)
   • Вручну введіть секретний ключ:
     1. Введіть «Wikipedia» у поле «Provider», а ім'я свого облікового запису — у поле «Account Name».
     2. Скопіюйте «Секретний ключ двофакторної автентифікації» який розташовано нижче QR-коду на сторінці «Керування двофакторною автентифікацією» та вставте його в програмі Authenticator в поле «2FA Token».
6. Натисніть «Додати» («Add») у верхньому правому куті Authenticator.
7. Внизу сторінки керування ДФА введіть 6-значний код підтвердження, який згенерує Authenticator. Зверніть увагу, що дія коду обмежена у часі, програма періодично може його змінювати.

KeeWeb (Windows, macOS, Linux, онлайн)[ред. | ред. код]

KeeWeb — безкоштовний менеджер паролів з відкритим вихідним кодом, який підтримує ДФА. Програму можна завантажити на комп'ютер або використовувати онлайн без встановлення. KeeWeb іменує ДФА як одноразові паролі (OTP).

1. Завантажте KeeWeb на свій комп'ютер або відкрийте онлайн-версію KeeWeb.
2. Перейдіть на сторінці своїх налаштувань до Керування двофакторною автентифікацією Натисніть «Увімкнути» поруч із «TOTP (одноразовий токен)» та виконайте процедуру входу до системи через своє ім'я користувача та пароль.
3. З'явиться сторінка «Керування двофакторною автентифікацією». Обов'язково з неї перепишіть (скопіюйте, сфотографуйте) скретч-коди і зберігайте їх у надійному місці. Лише після надійного зберігання скретч-кодів переходьте до наступних дій.
4. Натисніть кнопку + з підписом «New» (приблизно посередині екрану).
5. Додайте новий запис: натисніть піктограму + («Додати») у верхній частині. Потім натисніть зображення ключа з написом «Entry».
6. У правій частині у самому верхньому полі вкажіть назву запису (наприклад, «Wikipedia»).
7. У правій частині натисніть «more…». Потім натисніть «Одноразові паролі» («One-time passwords») та оберіть «Ввести код вручну» («Enter code manually»).
8. Скопіюйте «Секретний ключ двофакторної автентифікації» який розташовано нижче QR-коду на сторінці «Керування двофакторною автентифікацією» та вставте його в програмі в KeeWeb в поле «otp» у. Натисніть  ↵ Enter на клавіатурі. Код зміниться на 6-значний код підтвердження.
9. Натисніть на код в полі «otp». Праворуч поля з'явиться стрілка вниз, що дозволяє скопіювати 6-значний код підтвердження, який потрібно ввести внизу сторінки керування ДФА. Зверніть увагу, що дія коду обмежена у часі, програма періодично може його змінювати.
10. Резервне копіювання налаштувань KeeWeb:
    • Натисніть на значок шестерні ⚙️ («Налаштування», «Settings») у нижньому правому куті вікна KeeWeb. Натисніть «Новий» («New») у лівій частині екрана.
    • За бажанням встановіть пароль та ім'я, а потім натисніть «Зберегти в…» («Save to…»).
    • Натисніть «Файл», щоб зберегти налаштування на комп'ютері, або оберіть один із інших варіантів синхронізації — з Dropbox, Google Drive, OneDrive або WebDAV.

З будь-якої причини ви можете змінити пристрій автентифікації. Це може бути переміщення на інший комп'ютер або мобільний пристрій (наприклад, при купівлі нового смартфона). Наразі функція міграції між пристроями відсутня, однак ви можете зробити це, відключивши ДФА для вашого облікового запису, а потім повторно активуйте ДФА з реєстрацією на новому пристрої.

Важливо! Зберігайте свої скретч-коди офлайн у безпечному місці, щоб гарантувати, що ви не втратите доступ до свого облікового запису, якщо ваш пристрій ДФА вийде з ладу.

При налаштуванні ДФА вам буде надано десять 16-значних скретч-кодів, кожен з яких складається з чотирьох літеро-цифрових блоків. Ви можете використати один із скретч-кодів, якщо втратите доступ до свого додатка ДФА (наприклад, якщо ваш телефон чи комп'ютер зламано чи вкрадено). Ви будете бачити ці коди лише на одній сторінці під час налаштування ДФА, Вони ніколи знову не відтворюються при оновлені сторінки. Тому обов'язково запишіть (скопіюйте, сфотографуйте) їх та збережіть в автономному режимі в безпечному місці (наприклад, на флешці чи роздрукуйте на папері).

• Кожен скретч-код можливо використати лише один раз, причому для відключення режиму ДФА без авторизованого пристрою потрібно обов'язково два коди (перший, щоб увійти до системи, а другий, щоб підтвердити відключення ДФА).
• Не зберігайте скретч-коди лише на своєму смартфоні. Якщо він загубиться, ви їх втратите!
• Ви повинні дотримуватися правил безпеки. Не використовуйте як пароль своє ім'я, дату народження або щось, що можна вгадати під час атаки за словником. Не записуйте свій пароль у місці, де його можуть побачити інші, і подумайте, чи варто входити під своїм логіном до Вікіпедії на загальнодоступних терміналах у школах, бібліотеках, аеропортах.

Якщо з якоїсь причини вам потрібно використати один або кілька скретч-кодів або ви вважаєте, що їх скомпроментовано, вам слід створити новий набір якнайшвидше (особливо якщо у вас залишилося їх три чи менше).

У випадку втрати скретч-кодів з будь-яких причин (включно із забуванням зберегти їх при активації ДФА), треба негайно відключити двофакторну автентифікацію за допомогою кодів, які генерує ваша програма ДФА. Якщо ви зіткнетеся з проблемою на своєму допоміжному пристрої і у вас не будет скретч-кодів, то ваш обліковий запис буде заблоковано! Якщо ви заблоковані і коди відсутні, відновити доступ до вашого облікового запису буде дуже складно. Це зазвичай вимагатиме безсумнівного підтвердження вашої особи через Wikimedia Trust and Safety (cawikimedia.org). Якщо у відділі відхилять ваш запит, неможливо буде відключити ДФА, і вам доведеться створити новий обліковий запис.

Створення нових скретч-кодів[ред. | ред. код]

Щоб генерувати нові скретч-коди, вам потрібно обов'язково мати або доступ до свого пристрою ДФА, або декілька дійсних скретч-кодів

Щоб створити нову партію скретч-кодів, потрібно просто відключити, а потім знову увімкнути двофакторну автентифікацію. Це призведе до анулювання всіх старих скретч-кодів і створення нової партії.

Веб-інтерфейс[ред. | ред. код]

Коли ви входите в систему, після введення пароля вам буде запропоновано ввести код підтвердження.

1. Відкрийте програму ДФА, і ви побачите 6-значний код підтвердження.
2. Введіть код підтвердження як є (без пробілів), і ви повинні увійти.

   Оскільки код підтвердження залежить від часу, він може змінитися, поки ви вводите його. В цьому випадку вам доведеться замість старого ввести останній код. Зазвичай програма ДФА вказує, коли термін дії коду закінчується (наприклад, у Google Authenticator колір коду змінюється з синього на червоний).

Якщо вам потрібно використати скретч-код, введіть його замість коду підтвердження. Скретч-коди чутливі до регістру, тому їх потрібно вводити великими літерами. Скретч-код працюватиме з пробілами між кластерами символів або без них.

Мобільний додаток[ред. | ред. код]

Для версії мобільного додатку для iOS, коли з'явиться запит на введення коду підтвердження, вам потрібно виконати аналогічний процес як для веб-інтерфейсу.

Якщо вам потрібно використати скретч-код, спочатку виберіть використання резервного коду, а потім введіть скретч-код. Скретч-коди чутливі до регістру та мають бути введені великими літерами. Пробіли, що розділяють кластери символів у скретч-коді, необов'язкові.

Для версії мобільного додатка для Android двофакторна автентифікація наразі недоступна . Щоб обійти це обмеження, користувачі можуть створити додатковий обліковий запис.

API доступ[ред. | ред. код]

• Користувачі AutoWikiBrowser та Huggle повинні створити пароль для бота після активації ДФА. Будь ласка, дивіться <a href="https://en.wikipedia.org/wiki/Wikipedia:Using_AWB_with_2FA" rel="mw:ExtLink" title="Wikipedia:Using AWB with 2FA" class="cx-link" data-linkid="391">Wikipedia: Using AWB with 2FA</a> та mw:Manual:Huggle/Bot passwords щоб отримати інструкції.
• Для двофакторної автентифікації потрібна спеціальна клієнтська конфігурація для використання API.

Якщо ви більше не хочете використовувати ДФА, перейдіть до на сторінці своїх налаштувань до Керування двофакторною автентифікацією, де ви зможете відключити її. Вам потрібно буде ввести 6-значний код підтвердження, як під час входу. Замість цього дозволяється ввести один зі своїх 16-значних скретч-кодів. ДФА буде відключено для вашого облікового запису.

Щоб змінити програму або пристрій, які використовуються для ДФА, просто вимкніть ДФА, а потім активуйте вже з новими налаштуваннями.

Кілька пристроїв[ред. | ред. код]

Система ДФА Вікімедіа розроблена для використання лише з одним пристроєм. Якщо ви хочете використовувати ДФА на кількох пристроях, ви повинні зареєструвати всі свої пристрої одночасно. Щоб додати додаткового пристрою:

1. Майте всі свої пристрої під рукою.
2. Якщо у вашому обліковому записі вже працює ДФА — відключить її.
3. Перевірте, щоб годинники всіх пристроїв було синхронізовано. Зареєструйте всі свої пристрої відповідно до вказівок у розділах «Використання для ДФА смартфона або планшета» та/або «Використання для ДФА комп'ютера», але не вводьте 6-значний код підтвердження на сторінці налаштувань двофакторної автентифікації, доки усі ваші пристрої не будуть зареєстровані через QR-код чи секретний ключ з однієї сторінки.

Щоб видалити ДФА з пристрою, просто видаліть запис «Wikipedia» в додатку, що використовувався для ДФА. Робіть це лише якщо ви повністю відключили ДФА (див. «Відключення двофакторної автентифікації») або у вас є доступ до Вікіпедії через ДФА на іншому пристрої.

Дрейф годинника[ред. | ред. код]

Якщо годинник вашого пристрою ДФА стане занадто неточнимбудуть створюватись помилкові коди підтвердження і ви не зможете увійти. Більшість смартфонів та комп'ютерів синхронізують годинник, коли вони під'єднані до Інтернету або мережі GSM, і, швидше за все, вам не доведеться підлаштовувати годинник, доки ваш пристрій у мережі.

• Якщо вам потрібна додаткова допомога або у вас виникнуть запитання, зверніться до Wikipedia: Reference desk/Computing або зв'яжіться з Category: Wikipedians willing to assist with two-factor authentication.
• Якщо ви знайдете щось на цій сторінці неповним або незрозумілим, будь ласка, напишіть про це на сторінці обговорення, щоб хтось виправив.
• Напишіть на електронну пошту info-enwikimedia.org — з вашим запитом працюватиме один із технічних агентів Вікіпедія:VRT .
• Обговорити технічні питання можно на Вікіпедія:Кнайпа (технічні питання).
• Перегляньте також довідкову сторінку Metawiki, щоб ознайомитися з оглядом щодо ДФА.

WebAuthn — ще один варіант ДФА, який можна активувати. Наразі це не рекомендується, оскільки немає механізму відновлення втрачених ключів і він має меншу підтримку з боку волонтерів спільноти. Якщо ви використовуєте WebAuthn і зіткнетесь з технічною проблемою, ви можете назавжди втратити доступ до свого облікового запису.