Hulp bij tweetrapsauthenticatie

De implementatie van tweetrapsauthenticatie (2FA) is een manier om de beveiliging van je account te verbeteren. Indien je twee-factor-authenticatie instelt, vraagt het systeem naast je wachtwoord ook elke keer om een getal van 6 cijfers. Dit getal werkt slechts eenmalig. Het getal verkrijg je via een app op je smartphone of een ander toestel. Om aan te melden moet je je wachtwoord weten en je toestel beschikbaar hebben om de code te genereren.

Tweetrapsauthenticatie op Wikimedia is momenteel (met een paar uitzonderingen) nog in de experimentele fase en optioneel. Het gebruik ervan vereist (oathauth-enable)-toegang. Momenteel wordt het getest bij moderatoren en gebruikers met extra rechten zoals interface-bewerkers, bureaucraten, CheckUsers, oversighters, stewards, misbruikfilterredacteurs en de globale OATH-testers groep.

• Groepen waarvoor 2FA verplicht is

• Zorg dat je (oathauth-enable) toegang hebt (standaard beschikbaar voor moderatoren, bureaucraten, suppressors, CheckUsers en andere geprivilegieerd gebruikersgroepen)
• Installeer, indien je die nog niet hebt, een TOTP-client. TOTP staat voor Time-based One-time Password Algorithm. Voor de meeste gebruikers is deze client een applicatie op de telefoon of tablet. Vaak aanbevolen apps zijn o.a.:
  • Open-source: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox en Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • Closed-source: Authy (Android, iOS), Google Authenticator (Android iOS)
  • Vergelijken van gebruikelijke OTP-applicaties die als TOTP-applicatie voor 2FA gebruikt kunnen worden
  • Je kunt ook een desktop cliënt gebruiken zoals OATH Toolkit (Linux, macOS via Homebrew), of WinAuth (Windows). Bedenk dat als je inlogt op de computer waarop de TOTP codes worden aangemaakt, dat het dan niet je account beschermt als iemand ongewild toegang krijgt tot jouw computer.
  • Password managers zoals 1Password, Bitwarden en KeePass ondersteunen ook steeds meer TOTP, dat kan met een extensie zijn. Dit heeft dezelfde eerder genoemde beperkingen, maar als je er al een gebruikt, dan kun je kijken of TOTP via die password manager kan gaan.

    

• Ga naar Special:OATH op een wiki waar je bovenstaande rechten bezit (deze link is ook beschikbaar via je voorkeuren). (Voor de meeste gebruikers zal dat niet hier op meta-wiki zijn.)
• Special:OATH toont je een QR-code die de accountnaam en geheime sleutel bevat. Deze gegevens zijn nodig om je cliënt met de server te verbinden.
• Scan de QR-code met je TOTP-client of voer de accountnaam en sleutel handmatig in.
• Voer de authenticatiecode van je TOTP-client in op het OATH-scherm om tweetrapsauthenticatie te activeren.

Waarschuwing: Je zal een lijst met 10 eenmalig te gebruiken herstelcodes te zien krijgen. Deze codes dienen veilig op papier te worden geslagen. Als er problemen optreden met je TOTP-client, zal je zonder deze codes niet meer in kunnen loggen op je account.

• Voer je gebruikersnaam en wachtwoord in.
• Voer de zescijferige code in die getoond wordt door je TOTP-client. NB: Deze code verandert om de dertig seconden.

Als je code steeds wordt geweigerd, controleer dan of de tijd op je apparaat waarop je auth-app is geïnstalleerd, correct is.

Als je deze optie kiest tijdens het inloggen, hoef je normaliter niet meer een authenticatiecode in te voeren wanneer je dezelfde browser gebruikt. Wanneer je uitlogt of de browser cookies verwijderd zul je bij het inloggen wel weer een authenticatiecode mee moeten geven.

Sommige veiligheidsgevoelige acties, zoals het veranderen van je e-mailadres of wachtwoord, kunnen er ook voor zorgen dat je je opnieuw moet authenticeren (zelfs als je gebruik maakt van de "aangemeld blijven"-optie).

Tweetrapsauthenticatie wordt niet gebruikt als via de API wordt ingelogd, door gebruik te maken van OAuth of botwachtwoorden.

Met OAuth en botwachtwoorden kunnen de mogelijke API-acties gelimiteerd worden, terwijl volledige toegang van het account beschermd blijft achter tweetrapsauthorisatie. Hou er rekening mee dat OAuth en botwachtwoorden niet gebruikt kunnen worden om te verbinden met de website, enkel met de API.

Hulpmiddelen zoals AutoWikiBrowser (AWB) ondersteunen bijvoorbeeld 2FA nog niet, maar kunnen wel gebruikt worden door gebruik te maken van botwachtwoorden.

Als je al 2FA hebt ingeschakeld, dan betekent het intrekken van recht om 2FA toe te voegen niet dat daarmee al geregistreerd gebruik van 2FA wordt verwijderd. Om 2FA uit te schakelen dient je dat proces uit te voeren.

• Ga naar Special:OATH of je voorkeuren. Als je niet langer in een gebruikersgroep zit die 2FA geeft, kan je nog steeds 2FA deactiveren via Special:OATH.
• Gebruik voor de "tweetrapsauthenticatie uitschakelen"-pagina je TOTP-client om een code te genereren en het proces af te ronden.

Wanneer je 2FA aanzet zal een lijst van tien eenmalig te gebruiken "herstelcodes" worden getoond. Print deze codes uit en sla ze op in een veilige plek, voor het geval dat je de toegang tot je TOTP-client verliest. Het is belangrijk om te onthouden dat deze codes eenmalig te gebruiken zijn; na gebruik zijn ze niet meer bruikbaar. Als je er een gebruikt, kan je deze met een pen doorstrepen of anderzijds markeren dat deze code gebruikt is. Om een nieuwe lijst codes te genereren moet je 2FA uitschakelen om het daarna weer in te schakelen.

Hiervoor zijn mogelijk twee herstelcodes nodig: een om in te loggen en een om 2FA uit te schakelen. Als je ooit een van de herstelcodes moet gebruiken wordt het aangeraden om een nieuwe set codes te genereren door 2FA uit en in te schakelen.

Als op je toestel niet meer de correcte codes worden aangemaakt, controleer dan of de tijd op je toestel wel redelijk goed is. TOTP kan mislukken als er als er 2 minuten verschil is tussen de werkelijke tijd en de tijd op je toestel.

Om 2FA uit te schakelen zijn herstelcodes nodig die zijn gegenereerd bij het aanzetten van de extra toegangscontrole. Hiervoor zijn mogelijk twee herstelcodes nodig:

• Je moet ingelogd zijn. Als je niet ingelogd bent, is hiervoor een herstelcode nodig.
• Ga naar Special:OATH en gebruik een andere herstelcode om 2FA uit te schakelen.

Als je niet genoeg codes hebt, naam dan contact op met Trust and Safety via cawikimedia.org om te verzoeken naar verwijdering van 2FA van je account. Verzend deze e-mail met het e-mailadres van je wiki account. Maak ook een taak aan op Phabricator als je daar nog toegang tot hebt. Het is een vraag, dus het verwijderen van 2FA van een account kan geweigerd worden.

Lees deze instructies voor het verwijderen van 2FA bij een Ontwikkelaar account.

De meeste beschrijvingen op deze pagina zijn specifiek voor de TOTP methode. De WebAuthn methode is wat experimenteler en heeft op dit moment nog geen herstelopties (vergelijk bijbehorende taak). WebAuthn heeft een bekend probleem, je moet in de toekomst logons doen op hetzelfde project waarvan je het hebt opgestart (taak).

• Engels Wikipedia artikel over het concept van meervoudige authenticatie en Wikidata item
• Bekende problemen en verzoeken van de Wikimedia's 2FA in Phabricator.
• OATHAuth is de MediaWiki extensie die voor deze functionaliteit wordt gebruikt
• Wikimedia Security Team/2FA voor CentralAuth wiki's
• 2FA op MediaWiki.org