Ayuda:Autenticación de dos factores
La implementación de Wikimedia de la autenticación de dos factores (AF2 o Two-factor authentication (2FA) en inglés) es una forma de fortalecer la seguridad de tu cuenta. Si activas la autenticación de dos factores, cada vez que inicies sesión se te pedirá un código de autenticación de seis dígitos de un solo uso además de tu contraseña. Este código lo proporciona una aplicación en tu teléfono inteligente u otro dispositivo de autenticación. Para poder iniciar sesión, debes conocer tu contraseña y tener disponible tu dispositivo de autenticación para generar el código.
Cuentas afectadas
La autenticación de dos factores en Wikimedia es actualmente experimental y opcional (con algunas excepciones). La activación requiere del permiso (oathauth-enable)
, actualmente en pruebas de producción con administradores (y usuarios con permisos de administración similares como editores de interfaz), burócratas, verificadores de usuarios, supresores, stewards, administradores del filtro de ediciones y el grupo global de probadores de OATH.
Grupos de usuarios de uso obligatorio
Activar la autenticación de dos factores
- Tener acceso
(oathauth-enable)
(por defecto, disponible para administradores, burócratas, supresores, usuarios de control y otros grupos de usuarios privilegiados) - Tener o instalar un algoritmo de contraseña de un solo uso basado en tiempo. Para la mayoría de los usuarios, esta será una aplicación para teléfono o tableta. Las aplicaciones comúnmente recomendadas incluyen:
- De código abierto: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox y Edge), Passman (NextCloud) y KeePassXC (Linux, macOS y Windows)
- De código cerrado: Authy (Android, iOS) y Google Authenticator (Android e iOS)
- Comparación general de muchas aplicaciones OTP comunes que podrían usarse como cliente TOTP para AF2 (Wikipedia en inglés)
- También puedes usar cualquier cliente de escritorio como OATH Toolkit (Linux y macOS via Homebrew) o WinAuth (Windows). Ten en cuenta que si inicias sesión desde la computadora utilizada para generar estos códigos, este enfoque no protege tu cuenta si un atacante obtiene acceso a tu computadora.
- Algunos administradores de contraseñas como 1Password, Bitwarden y KeePass también tienden a admitir o tienen complementos para admitir estas códigos. Esto tiene las mismas limitaciones que las anteriores, pero vale la pena analizarlo si ya usas uno para otras cosas.
- Ir a Special:OATH en el proyecto donde tienes uno de los permisos arriba mencionados (este enlace está disponible también desde tus preferencias). (Para la mayoría de los usuarios, esto no estará aquí en Meta-Wiki.)
- Special:OATH te presentará un código QR conteniendo el nombre de la cuenta de dos factores y la clave secreta de dos factores. Esto es necesario para emparejar tu cliente con el servidor.
- Escanea el código QR o ingresa el nombre y la clave de la cuenta de dos factores en tu cliente de códigos.
- Ingresa el código de autenticación de tu cliente de códigos en la pantalla OATH para completar la activación.
Acceder a tu cuenta
- Introduzca su nombre de usuario y contraseña, y envíelo como antes.
- Introduzca un código de autenticación de un solo uso de seis dígitos proporcionado por el cliente de códigos. Nota: este código cambia cada treinta segundos aproximadamente.
Mantenerme conectado
Si elige esta opción al iniciar sesión, normalmente no necesitará ingresar un código de autenticación cuando use el mismo navegador. Las acciones como cerrar la sesión o borrar la memoria cookies del navegador requerirán un código en su próximo inicio de sesión.
Es posible que algunas acciones sensibles a la seguridad, como cambiar su dirección de correo electrónico o contraseña, requieran que vuelva a autenticarse con un código, incluso si eligió la opción de mantenerse conectado.
Acceso a la API
La autenticación de dos pasos no es utilizada cuando se usa OAuth o las contraseñas de bot para iniciar sesión a través de la API.
Puede usar contraseñas de OAuth o bot para restringir las sesiones de la API a acciones específicas, a la vez que utiliza la autenticación de dos factores para proteger su acceso completo. Tenga en cuenta que las contraseñas OAuth y bot no se pueden utilizar para iniciar sesión interactivamente en el sitio web, solo en la API.
Por ejemplo, herramientas como AutoWikiBrowser (AWB) aún no admiten la autenticación de dos pasos, pero se pueden usar contraseñas de bot. Puedes encontrar más información en como configurar esto.
Desactivar la autenticación en dos pasos
- Vaya a Special:OATH o a preferencias. Si ya no está en grupos a los que se le permite inscribirse, aún puede cancelar su inscripción a través de Special:OATH.
- En la página inhabilitar la autenticación de dos factores, utilice su dispositivo de autenticación para generar un código y finalizar el proceso.
Códigos de recuperación
Al activar la autenticación de dos factores, se te proporcionará una lista de diez códigos de recuperación de un solo uso. Imprime esos códigos y guárdalos en un lugar seguro, ya que es posible que necesites usarlos en caso de que pierdas el acceso a tu dispositivo A2F. Es importante tener en cuenta que cada uno de estos códigos es de uso único; solo puede usarse una vez y luego caduca. Después de usar uno, puedes tacharlo con un bolígrafo o marcar que se ha utilizado el código. Para generar un nuevo conjunto de códigos, deberás desactivar y volver a activar la autenticación de dos factores.
Deshabilitar la autenticación en dos pasos sin el dispositivo identificación
Esto puede requerir dos códigos de recuperación: uno para iniciar sesión y otro para desactivar la autenticación de dos factores. Si alguna vez necesitas utilizar alguno de tus códigos de recuperación, es recomendable desactivarlo y volverlo a activar para generar un nuevo conjunto de códigos lo antes posible.
Recuperación de un dispositivo de autenticación perdido o roto
Si tienes un dispositivo de autenticación en dos pasos que ha dejado de generar códigos correctos por favor verifica que el reloj del mismo esté debidamente sincronizado y/o sea razonablemente exacto.
Necesitará acceso a los códigos de recuperación que le proporcionaron al inscribirse para desinscribirse de la autenticación de dos factores. Se requerirá que utilice hasta dos códigos de recuperación para lograr esto:
- Debe iniciar sesión. Si aún no ha iniciado sesión, utilizará un código de recuperación.
- Visita Special:OATH y usa un código de recuperación diferente para cancelar la autenticación de dos factores.
Si te has quedado sin códigos de recuperación puedes contactar con Trust and Safety por correo electrónico a la dirección cawikimedia.org para solicitar que te retiren la autenticación en dos pasos de tu cuenta (habrás de enviar el correo electrónico desde la dirección de correo que tengas registrada en tu cuenta de usuario). Si puedes, crea también un tique en Phabricator si todavía tienes acceso. Ten en cuenta que la remoción de la autenticación de dos pasos por el personal de la Fundación no siempre se autoriza.
vea wikitech:Password and 2FA reset#For users para instrucciones en como pedir la remoción de 2FA para tu cuenta de desarrollador.
Método de autenticación web
Por favor tomar notar de que la mayoría de las direcciones de esta página es específica al método TOTP. El método WebAuthn es más experimental y actualmente no tiene opciones de recuperación (cf. tarea de desarrollo relacionada). WebAuthn tiene un problema conocido en el que los inicios de sesión futuros deben ser hechos en el mismo proyecto de inicio (tarea de rastreo).
Véase también
- El concepto de autenticación multifactor en la Wikipedia en inglés y el item Wikidata sobre esto
- Problemas conocidos y mejoras solicitadas de la autenticación de doble factor de Wikimedia son rastreadas y gestionadas en Phabricator
- OATHAuth es la extensión MediaWiki usada para esta funcionalidad
- Equipo de Seguridad Wikimedia/Autenticación de doble factor para wikis CentralAuth
- Ayuda:Autenticación de doble factor en MediaWiki.org