Jump to content

Ajuda:Autenticação de dois fatores

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Two-factor authentication and the translation is 100% complete.
Shortcut :
H:2FA
Esta página explica a autenticação de dois fatores nas wikis da Fundação Wikimedia. Também é possível ler a documentação da extensão responsável por ativar esse recurso.

A implementação da autenticação de dois fatores (2FA) da Wikimedia é uma forma de aumentar a segurança da sua conta. Após ativar a autenticação de dois fatores, um código de autenticação único de seis dígitos sempre será solicitado junto com a sua senha. Este código é fornecido por um aplicativo em seu aparelho celular ou por outro dispositivo de autenticação de sua escolha. Para efetuar a autenticação, você deverá saber a sua senha e ter o seu dispositivo de autenticação disponível para gerar o código.

Contas afetadas

A autenticação em dois fatores na Wikimedia está em estágio experimental e opcional (com algumas exceções). A utilização requer o direito (oathauth-enable), atualmente em testes com administradores (e usuários com permissões semelhantes a administradores, como editores de interface), burocratas, verificadores, supressores, stewards, gerenciadores dos filtros de edições e o grupo global de testadores do OATH.

Grupos de usuários com utilização obrigatória

Ativando a autenticação de dois fatores

  • Tenha o acesso (oathauth-enable) (disponível por padrão a administradores, burocratas, supressores, verificadores e outros grupos de usuários privilegiados)
  • Tenha ou instale um cliente de Senha Única Baseada em Tempo (TOTP, na sigla em inglês). Para muitos usuários, esse será um aplicativo para celular ou tablet. Qualquer aplicativo compatível pode ser utilizado, entre os quais destacamos:
    • Código aberto: Aegis (Android e F-Droid), FreeOTP (Android, F-Droid e iOS), 2FAS (Android e iOS), Bitwarden Authenticator (Android e iOS), Authenticator (iOS), Authenticator.cc (Chrome, Firefox e Edge), Passman (NextCloud), KeePassXC (Linux, macOS e Windows)
    • Código fechado: Google Authenticator (Android e iOS) e outros aplicativos de autenticação fabricados pelas grandes empresas de tecnologia
    • Comparação geral de muitos aplicativos OTP comuns que podem ser usados ​​como cliente TOTP para 2FA (Wikipédia em inglês)
    • Também é possível utilizar um cliente para área de trabalho, como o OATH Toolkit (Linux e macOS via Homebrew) ou WinAuth (Windows). Lembre-se que, se for iniciada uma sessão na wiki no mesmo computador utilizado para gerar o código de autenticação, essa abordagem não protegerá sua conta caso um invasor obtenha acesso ao seu computador.
    • Gerenciadores de senhas, como Bitwarden, KeePass e Proton Pass, também tendem a serem compatíveis com o TOTP, ou disporem de plugins que fornecem essa compatibilidade. Isso possui as mesmas limitações que as descritas acima, mas pode valer a pena examinar caso você já utilize um deles para outras coisas.
      Visão geral da seção nas preferências que ativa a autenticação de dois fatores
  • Vá para Special:OATH no projeto onde você possui um dos direitos acima (essa ligação também está disponível nas suas preferências). (Para a maioria dos usuários, a página deve ser acessada na wiki desejada, e não aqui no meta-wiki.)
  • A Special:OATH apresentará um código QR contendo o nome da conta e a chave secreta para a autenticação de dois fatores. Isso é necessário para parear seu cliente com o servidor.
  • Escaneie o código QR com seu cliente TOTP, ou insira o nome da conta e a chave para a autenticação de dois fatores nele.
  • Insira o código de autenticação do seu cliente TOTP na tela do OATH para concluir a ativação.

Entrando

Tela de entrada
  • Forneça seu nome de usuário e senha, e envie como antes.
  • Insira um código de autenticação de seis dígitos de uso único, conforme fornecido pelo cliente TOTP. Observe que esse código muda a cada trinta segundos. Se o código permanecer sendo rejeitado, verifique se a data e hora no dispositivo que está executando o aplicativo de autenticação estão definidos corretamente.

Mantenha-me logado

Se você escolher esta opção ao efetuar login, normalmente não precisará inserir um código de autenticação ao usar o mesmo navegador. Ações como sair ou limpar os cookies do navegador exigirão um código no seu próximo login.

Algumas ações sensíveis à segurança, como alterar seu endereço de e-mail ou senha, podem exigir que você se autentique novamente com um código, mesmo que tenha escolhido a opção mantenha-me conectado.

Acesso à API

A autenticação em dois fatores não é utilizada quando OAuth ou senhas de robô são usados para efetuar login por meio da API.

Você pode usar OAuth ou senhas de robô para restringir as sessões da API a ações específicas, enquanto ainda usa a autenticação de dois fatores para proteger seu acesso total. Observe que OAuth e as senhas de robô não podem ser usadas para logar interativamente no site, apenas na API.

Por exemplo, ferramentas como o AutoWikiBrowser (AWB) ainda não possuem suporte à autenticação em dois fatores, mas podem usar senhas de robô. Para informações adicionais em como configurar isso veja Wikipedia:Using AWB with 2FA (em inglês)

Desativando a autenticação de dois fatores

Cancelar a inscrição
  • Vá para Special:OATH ou preferências. Se você não está mais em grupos que podem ativar o 2FA, você ainda pode desativar em Special:OATH.
  • Na página desabilitar TOTP, use seu dispositivo de autenticação para gerar um código para completar o processo.

Códigos de recuperação

Exemplo de códigos de recuperação OATH

Ao se inscrever na autenticação de dois fatores, você receberá uma lista de dez códigos de recuperação de uso único. Por favor imprima os códigos e armazene-os em um local seguro, pois você pode precisar usá-los caso perca o acesso ao seu dispositivo 2FA. É importante observar que cada um desses códigos é de uso único; só pode ser usado uma vez e depois expira. Depois de usar um, você pode riscar com uma caneta ou marcar que o código foi usado. Para gerar um novo conjunto de códigos, você precisará desabilitar e reativar a autenticação de dois fatores.

Desativando a autenticação de dois fatores sem um dispositivo de autenticação

Isso pode exigir dois códigos de recuperação: um para efetuar login e outro para desativar. Caso você precise usar algum dos códigos de recuperação, é recomendável desativar e reativar o 2FA para gerar um novo conjunto de códigos o mais rápido possível.

Recuperação a partir de um dispositivo de autenticação perdido ou danificado

Se você tiver um dispositivo 2FA existente que simplesmente parou de gerar os códigos corretos, verifique se o relógio está razoavelmente preciso. Sabe-se que a OTP baseada em tempo em nossas wikis falha com 2 minutos de diferença.

Você precisará acessar os códigos de recuperação que foram fornecidos ao se inscrever para cancelar o registro da autenticação de dois fatores. Isso exigirá que você use até dois códigos para fazer isso:

  • Você precisa estar logado. Se você ainda não o está, isso irá requerer o uso de um código de recuperação.
  • Visite Special:OATH e use um código de recuperação diferente para desativar a autenticação em dois fatores.

Se você não possui códigos de recuperação suficientes, você pode contatar a equipe de Confiança e Segurança no ca(_AT_)wikimedia.org para solicitar a remoção do 2FA da sua conta (por favor envie um email usando o endereço de email registrado na sua conta da wiki). Você também deve criar uma tarefa no Phabricator se você ainda possui acesso à ele. Por favor note que a remoção do 2FA pela equipe não é sempre efetuado.

Veja wikitech:Password and 2FA reset#For users para instruções sobre como requisitar a remoção do 2FA para sua conta de desenvolvedor.

Método de Autenticação Web

Por favor note que a maioria das instruções nesta página são específicas ao método TOTP. O método WebAuthn é mais experimental e atualmente não possui opções de recuperação (confira phab:T244348). O WebAuthn tem um problema conhecido: você deve fazer logons futuros no mesmo projeto em que o iniciou (tarefa de rastreamento).

Ver também