Ajuda:Autenticação de dois fatores

A implementação da autenticação de dois fatores (2FA) da Wikimedia é uma forma de aumentar a segurança da sua conta. Após ativar a autenticação de dois fatores, um código de autenticação único de seis dígitos sempre será solicitado junto com a sua senha. Este código é fornecido por um aplicativo em seu aparelho celular ou por outro dispositivo de autenticação de sua escolha. Para efetuar a autenticação, você deverá saber a sua senha e ter o seu dispositivo de autenticação disponível para gerar o código.

A autenticação em dois fatores na Wikimedia está em estágio experimental e opcional (com algumas exceções). A utilização requer o direito (oathauth-enable), atualmente em testes com administradores (e usuários com permissões semelhantes a administradores, como editores de interface), burocratas, verificadores, supressores, stewards, gerenciadores dos filtros de edições e o grupo global de testadores do OATH.

• Grupos que requerem autenticação de dois-fatores

• Tenha o acesso (oathauth-enable) (disponível por padrão a administradores, burocratas, supressores, verificadores e outros grupos de usuários privilegiados)
• Tenha ou instale um cliente de Senha Única Baseada em Tempo (TOTP, na sigla em inglês). Para muitos usuários, esse será um aplicativo para celular ou tablet. Qualquer aplicativo compatível pode ser utilizado, entre os quais destacamos:
  • Código aberto: Aegis (Android e F-Droid), FreeOTP (Android, F-Droid e iOS), 2FAS (Android e iOS), Bitwarden Authenticator (Android e iOS), Authenticator (iOS), Authenticator.cc (Chrome, Firefox e Edge), Passman (NextCloud), KeePassXC (Linux, macOS e Windows)
  • Código fechado: Google Authenticator (Android e iOS) e outros aplicativos de autenticação fabricados pelas grandes empresas de tecnologia
  • Comparação geral de muitos aplicativos OTP comuns que podem ser usados ​​como cliente TOTP para 2FA (Wikipédia em inglês)
  • Também é possível utilizar um cliente para área de trabalho, como o OATH Toolkit (Linux e macOS via Homebrew) ou WinAuth (Windows). Lembre-se que, se for iniciada uma sessão na wiki no mesmo computador utilizado para gerar o código de autenticação, essa abordagem não protegerá sua conta caso um invasor obtenha acesso ao seu computador.
  • Gerenciadores de senhas, como Bitwarden, KeePass e Proton Pass, também tendem a serem compatíveis com o TOTP, ou disporem de plugins que fornecem essa compatibilidade. Isso possui as mesmas limitações que as descritas acima, mas pode valer a pena examinar caso você já utilize um deles para outras coisas.

    

• Vá para Special:OATH no projeto onde você possui um dos direitos acima (essa ligação também está disponível nas suas preferências). (Para a maioria dos usuários, a página deve ser acessada na wiki desejada, e não aqui no meta-wiki.)
• A Special:OATH apresentará um código QR contendo o nome da conta e a chave secreta para a autenticação de dois fatores. Isso é necessário para parear seu cliente com o servidor.
• Escaneie o código QR com seu cliente TOTP, ou insira o nome da conta e a chave para a autenticação de dois fatores nele.
• Insira o código de autenticação do seu cliente TOTP na tela do OATH para concluir a ativação.

AVISO: Também lhe será apresentada uma série de 10 códigos de recuperação de uso único. Imprima e armazene uma cópia desta página em segurança. No caso de perda ou problemas com o cliente TOTP, sua conta tornar-se-á inacessível a menos que você possua acesso a esses códigos.

• Forneça seu nome de usuário e senha, e envie como antes.
• Insira um código de autenticação de seis dígitos de uso único, conforme fornecido pelo cliente TOTP. Observe que esse código muda a cada trinta segundos. Se o código permanecer sendo rejeitado, verifique se a data e hora no dispositivo que está executando o aplicativo de autenticação estão definidos corretamente.

Se você escolher esta opção ao efetuar login, normalmente não precisará inserir um código de autenticação ao usar o mesmo navegador. Ações como sair ou limpar os cookies do navegador exigirão um código no seu próximo login.

Algumas ações sensíveis à segurança, como alterar seu endereço de e-mail ou senha, podem exigir que você se autentique novamente com um código, mesmo que tenha escolhido a opção mantenha-me conectado.

A autenticação em dois fatores não é utilizada quando OAuth ou senhas de robô são usados para efetuar login por meio da API.

Você pode usar OAuth ou senhas de robô para restringir as sessões da API a ações específicas, enquanto ainda usa a autenticação de dois fatores para proteger seu acesso total. Observe que OAuth e as senhas de robô não podem ser usadas para logar interativamente no site, apenas na API.

Por exemplo, ferramentas como o AutoWikiBrowser (AWB) ainda não possuem suporte à autenticação em dois fatores, mas podem usar senhas de robô. Para informações adicionais em como configurar isso veja Wikipedia:Using AWB with 2FA (em inglês)

Se você já possui o 2FA ativo, remover a permissão que permite que você ative o 2FA NÃO IRÁ desativar o 2FA. Você precisa seguir o processo abaixo para desativá-lo.

• Vá para Special:OATH ou preferências. Se você não está mais em grupos que podem ativar o 2FA, você ainda pode desativar em Special:OATH.
• Na página desabilitar TOTP, use seu dispositivo de autenticação para gerar um código para completar o processo.

Ao se inscrever na autenticação de dois fatores, você receberá uma lista de dez códigos de recuperação de uso único. Por favor imprima os códigos e armazene-os em um local seguro, pois você pode precisar usá-los caso perca o acesso ao seu dispositivo 2FA. É importante observar que cada um desses códigos é de uso único; só pode ser usado uma vez e depois expira. Depois de usar um, você pode riscar com uma caneta ou marcar que o código foi usado. Para gerar um novo conjunto de códigos, você precisará desabilitar e reativar a autenticação de dois fatores.

Isso pode exigir dois códigos de recuperação: um para efetuar login e outro para desativar. Caso você precise usar algum dos códigos de recuperação, é recomendável desativar e reativar o 2FA para gerar um novo conjunto de códigos o mais rápido possível.

Se você tiver um dispositivo 2FA existente que simplesmente parou de gerar os códigos corretos, verifique se o relógio está razoavelmente preciso. Sabe-se que a OTP baseada em tempo em nossas wikis falha com 2 minutos de diferença.

Você precisará acessar os códigos de recuperação que foram fornecidos ao se inscrever para cancelar o registro da autenticação de dois fatores. Isso exigirá que você use até dois códigos para fazer isso:

• Você precisa estar logado. Se você ainda não o está, isso irá requerer o uso de um código de recuperação.
• Visite Special:OATH e use um código de recuperação diferente para desativar a autenticação em dois fatores.

Se você não possui códigos de recuperação suficientes, você pode contatar a equipe de Confiança e Segurança no cawikimedia.org para solicitar a remoção do 2FA da sua conta (por favor envie um email usando o endereço de email registrado na sua conta da wiki). Você também deve criar uma tarefa no Phabricator se você ainda possui acesso à ele. Por favor note que a remoção do 2FA pela equipe não é sempre efetuado.

Veja wikitech:Password and 2FA reset#For users para instruções sobre como requisitar a remoção do 2FA para sua conta de desenvolvedor.

Por favor note que a maioria das instruções nesta página são específicas ao método TOTP. O método WebAuthn é mais experimental e atualmente não possui opções de recuperação (confira phab:T244348). O WebAuthn tem um problema conhecido: você deve fazer logons futuros no mesmo projeto em que o iniciou (tarefa de rastreamento).

• O conceito de autenticação multifator na Wikipédia em inglês e um item da Wikidata sobre ele
• Bugs conhecidos e melhorias solicitadas da autenticação de dois fatores da Wikimedia são colaborados e rastreados no Phabricator
• OATHAuth é a extensão do MediaWiki usada para essa funcionalidade
• Equipe de Segurança da Wikimedia/Autenticação em dois fatores para wikis CentralAuth (em inglês)
• Ajuda:Autenticação em dois fatores no MediaWiki.org