Hilfe:Zwei-Faktor-Authentifizierung

Wikimedias Implementierung der Zwei-Faktor-Authentifizierung (2FA) dient dazu, die Sicherheit deines Benutzerkontos zu erhöhen. Wenn du die Zwei-Faktor-Authentifizierung aktivierst, wirst du bei jeder Verwendung des Passwortes zusätzlich nach einem zeitlich limitiert gültigen sechsstelligen Einmalpasswort (TOTP) gefragt. Dieses Einmalpasswort kann beispielsweise von einer App auf deinem Smartphone oder von einem anderen Authentifizierungsgerät bereitgestellt werden. Um dich anzumelden, musst du sowohl dein eigentliches Passwort wissen als auch das Authentifizierungsgerät bei dir haben, um das zusätzliche Einmalpasswort zu generieren.

Die Zwei-Faktor-Authentifizierung bei Wikimedia ist zurzeit experimentell und freiwillig. Die Einschreibung (enrollment) benötigt die Berechtigung (oathauth-enable) und ist zurzeit im Feldtest bei Administratoren (und Benutzern mit admin-ähnlichen Rechten wie z.B. Verbindungs- oder Schnittstellenbearbeiter), Bürokraten, Checkuser-Berechtigten, Oversightern, Stewards, Verwaltern von Bearbeitungsfiltern und der globalen Gruppe der OATH-Tester.

• Gruppen die eine Zwei-Faktor-Authentifizierung erfordern

• Erlange (oathauth-enable) Zugang (standardmäßig für Administratoren, Bürokraten, Oversighter, Checkuser und andere höhere Benutzergruppen verfügbar)
• Falls noch nicht vorhanden, installiere einen Time-based One-time Password (TOTP)-Client. Für die meisten Benutzer ist das eine Anwendung für ein Smartphone oder ein Tablet. Zu den normalerweise empfohlenen Apps gehören:
  • Quell-offene Software (Open Source): FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • Proprietäre Software (Closed Source): Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
  • Allgemeiner Vergleich vieler OTP-Anwendungen, Clients für 2FA mit TOTP (englischsprachige Wikipedia)
  • Du kannst auch einen Desktop-Client wie das OATH Toolkit (Linux, macOS via Homebrew) oder WinAuth (Windows) verwenden. Denke daran: Wenn Du dich von demselben Computer aus anmeldest, mit dem Du die TOTP-Einmalpasswörter generierst, schützt diese Methode dein Konto nicht, wenn ein Angreifer Zugang zu deinem Computer erhält.
  • Passwort-Manager wie 1Password, Bitwarden und KeePass unterstützen in der Regel auch TOTP bzw. haben entsprechende Plugins. Diese haben die gleichen Einschränkungen wie die oben genannten, aber es kann sich lohnen, einen Blick darauf zu werfen, wenn Du bereits einen Passwortmanager für andere Dinge verwendest.

    

• Gehe zu Special:OATH auf einem Projekt, auf dem du eines der oben genannten Rechte hast (dieser Link ist auch in deinen Einstellungen verfügbar). (Für die meisten Nutzer ist das nicht hier auf Meta-Wiki.)
• Special:OATH zeigt dir einen QR-Code, der den Zwei-Faktor-Benutzernamen und den Zwei-Faktor-Geheimcode (secret key) enthält. Diese Informationen sind notwendig um deinen Client mit dem Server zu koppeln (pairing).
• Scanne den QR-Code mit dem TOTP-Client oder gib deinen Zwei-Faktor-Benutzernamen und -Geheimcode im TOTP-Client ein.
• Gib den Authentifizierungscode von deinem TOTP-Client in den OATH-Bildschirm ein, um die Einschreibung abzuschließen.

WARNUNG: Du wirst auch eine Reihe von 10 jeweils einmalig benutzbaren Wiederherstellungscodes erhalten. Du solltest eine Kopie dieser Seite ausdrucken und sicher aufbewahren. Wenn Du deinen TOTP-Client verlierst oder ein Problem mit ihm hast, wirst du aus deinem Konto ausgesperrt, wenn du keinen Zugang zu diesen TANs hast.

• Gib deinen Benutzernamen und dein normales Passwort ein, bestätige diese wie gewohnt.
• Gib das 6-stellige Einmalpasswort ein, das von deinem TOTP-Client angezeigt wird. Hinweis: Dieses Einmalpasswort ändert sich ungefähr alle 30 Sekunden. Wenn der Code immer wieder abgelehnt wird, überprüfe, ob die Uhrzeit auf deinem Gerät, auf dem deine Authentifizierungsapp installiert ist, korrekt ist.

Wenn du diese Option beim Einloggen wählst, musst du normalerweise keine neuen Authentifizierungspasswörter eingeben, solange du denselben Browser verwendest. Aktionen wie das Abmelden oder Löschen der Browser-Cookies erfordern bei der nächsten Anmeldung die Eingabe eines aktuellen Einmalpassworts.

Bei einigen sicherheitsrelevanten Aktionen, wie z. B. der Änderung deiner E-Mail-Adresse oder deines Passworts, musst du dich möglicherweise erneut mit einem Code authentifizieren, auch wenn du die Option "Eingeloggt bleiben" gewählt hast.

Die Zwei-Faktor-Authentifizierung wird nicht bei OAuth oder Bot-Passwörtern mit API-Zugriff verwendet.

Du kannst OAuth- oder Bot-Passwörter verwenden, um API-Sitzungen auf bestimmte Aktionen zu beschränken und gleichzeitig eine Zwei-Faktor-Authentifizierung zu verwenden, um deinen vollen Zugang zu schützen. Bitte beachte, dass OAuth- und Bot-Passwörter nicht verwendet werden können, um sich interaktiv auf der Webseite anzumelden, sondern nur für die API.

Zum Beispiel unterstützten Werkzeuge wie AutoWikiBrowser (AWB) die Zwei-Faktor-Authentifizierung noch nicht, können aber Bot-Passwörter verwenden. Weitere Informationen zur Konfiguration findest Du hier.

Das Entfernen der Berechtigung sich für 2FA einzuschreiben wird ein bereits aktiviertes 2FA NICHT deaktivieren. Um es zu deaktivieren, musst du das folgende Verfahren befolgen.

• Gehe zu Special:OATH oder in die Einstellungen. Wenn Du dich nicht mehr in Gruppen befindest, die sich dazu einschreiben dürfen, kannst Du es immer noch über Special:OATH deaktivieren.
• Verwende auf der Seite Zwei-Faktor-Authentifizierung deaktivieren dein Authentifizierungsgerät, um ein Einmalpasswort zu generieren und den Vorgang abzuschließen.

Wenn du dich für die Zwei-Faktor-Authentifizierung einschreibst (und diese aktivierst), erhältst du eine Liste mit zehn Einmal-Wiederherstellungscodes. Bitte drucke diese Wiederherstellungscodes aus und bewahre sie an einem sicheren Ort auf, denn du wirst sie brauchen, falls du den Zugang zu deinem 2FA-Gerät verlierst. Es ist wichtig zu wissen, dass jedes dieser Passwörter nur einmalig verwendet werden kann und dann abgelaufen ist! Nachdem du einen Wiederherstellungscode verwendet hast, kannst du sie mit einem Stift durchstreichen oder auf andere Weise markieren, dass dieser Wiederherstellungscode bereits verwendet wurde. Um einen neuen Satz Wiederherstellungscodes zu generieren, musst du die Zwei-Faktor-Authentifizierung deaktivieren und erneut aktivieren.

Dazu sind möglicherweise zwei Wiederherstellungscodes erforderlich: eine zum Anmelden und eine andere zum Deaktivieren. Solltest du jemals einen Wiederherstellungscodes verwenden müssen, ist es ratsam, die Zwei-Faktor-Authentifizierung kurzzeitig zu deaktivieren und wieder zu aktivieren, um so schnell wie möglich einen neuen vollständigen Satz Wiederherstellungscodes zu erzeugen.

Wenn Du ein vorhandenes 2FA-Gerät hast, das einfach nicht mehr die richtigen Codes erzeugt, überprüfe, ob seine Uhr einigermaßen genau geht. Es ist bekannt, dass zeitbasierte OTPs in unseren Wikis mit einer Abweichung von 2 Minuten fehlschlagen.

Um dich aus der Zwei-Faktor-Authentifizierung vollständig auszutragen, brauchst du Zugang zu den Wiederherstellungscodes, die du bei der Einschreibung bzw. bei der 2FA-Aktivierung erhalten hast. Dazu musst du bis zu zwei Wiederherstellungscodes verwenden:

• Du musst angemeldet sein. Wenn Du noch nicht angemeldet bist, musst Du einen Wiederherstellungscode verwenden.
• Besuche Special:OATH und verwende einen anderen Wiederherstellungscode, um die Zwei-Faktor-Authentifizierung zu deaktivieren.

Wenn Du nicht genügend Wiederherstellungscodes hast, kannst Du das Team Trust and Safety („Vertrauen und Sicherheit“) unter cawikimedia.org kontaktieren, um die Entfernung von 2FA aus deinem Konto zu beantragen (sende bitte eine E-Mail mit der für dein Wiki-Konto registrierten E-Mail-Adresse). Du solltest auch eine Aufgabe im Phabricator erstellen, wenn Du noch Zugriff darauf hast. Bitte beachte, dass die 2FA-Entfernung durch die Mitarbeitenden nicht in jedem Fall gewährt wird.

Siehe wikitech:Password and 2FA reset#For users für Anweisungen zur Beantragung der 2FA-Entfernung für dein Entwicklerkonto.

Bitte beachte, dass die meisten Anweisungen auf dieser Seite spezifisch für die TOTP-Methode sind. Die Methode WebAuthn ist experimenteller und hat derzeit keine Wiederherstellungsoptionen (vgl. Verwandte Entwickleraufgabe). WebAuthn hat ein lange bekanntes Problem, das dazu führt, dass zukünftige Anmeldungen nur in demselben Projekt möglich sind, mit dem es erstmals eingerichtet wurde - nicht z.B. in einem anderen Wiki (Fehlerverfolgung). Hierfür ist derzeit keine Lösung zu erwarten, da dieses Problem bereits Anfang 2020 gemeldet und dann lange diskutiert wurde.

• Konzept der Multi-Faktor-Authentifizierung (englischsprachiger Wikipedia-Artikel) und zugehöriges Wikidata-Element
• Bekannte Fehler und Verbesserungswünsche für Wikimedias Zwei-Faktor-Authentifizierung werden im Phabricator kollaborativ bearbeitet und nachverfolgt
• OATHAuth ist die MediaWiki-Erweiterung, die für diese Funktionalität verwendet wird
• Wikimedia-Sicherheitsteam/Zwei-Faktor-Authentifizierung für CentralAuth-Wikis
• Hilfe:Zwei-Faktor-Authentifizierung auf MediaWiki.org