Help:双因素身份验证

維基媒體實行的雙重認證(2FA)是一種加強帳號安全的方式。如果你開啟了雙重認證，除了密碼外，您每次都會被要求輸入一個一次性的六位數驗證碼。此密碼將會由你的智慧型手機上的一個APP或其他的認證設備所提供。為了登錄，您必須知道自己的密碼，並準備好用於生成密碼的身份驗證設備。

目前在維基媒體網站，雙重認證是一個實驗性及自願參與（有例外）的功能。加入測試需要擁有(oathauth-enable)權限，目前於產品端供管理員（包括介面編輯員等有類似管理權限的使用者）、行政員、用户查核員、監督員、監管員、過濾器編輯員以及OATH測試員開放測試。

• 需要開啟雙重認證的用户組

• 擁有(oathauth-enable)權限（默认情況下，管理员、行政员、监督员、用户查核员與其他已賦予權限的用户组等拥有此權限）
• 擁有或已安裝基於時間的一次性密碼算法（TOTP）的用户端。對大多數使用者來說，這將需要手機或平板電腦應用程式。可以使用任何兼容的应用程序，一些流行的應用程式包括：
  • 開源：Aegis (Android、F-Droid)、FreeOTP（Android、F-Droid、iOS）、2FAS (Android、iOS), Bitwarden Authenticator (Android、iOS)、Authenticator（iOS）、Authenticator.cc (Chrome, Firefox & Edge)、Passman (NextCloud)、KeePassXC (Linux, macOS, Windows)
  • 閉源：Google身份驗證器（安卓 iOS），以及来自其他大多数大型科技巨頭的验证器应用程序。
  • 可用作2FA的TOTP用户端的常見OTP應用程式的比較（英文維基百科）
  • 您亦可使用桌面客户端應用程式，如OATH Toolkit (透過Homebrew的Linux，macOS)、或WinAuth (Windows)。请谨记，若您通过计算机生成TOTP验证码，当攻击者获得计算机访问权限时，此方法無法保护您的帐户。
  • 密码管理器诸如Bitwarden、KeePass和Proton Pass等也可能有支持或拥有相应支持TOTP的插件。这些工具与上述工具受到相同的限制，但是如果您已经使用了上述工具中的一个，则这些密码管理器也可能值得考虑。

    

• 在擁有上述權限的站点中進入Special:OATH（這個連結也可透過偏好設定進入）。（然而對大多數的用户來說，沒辦法透過元維基的頁面啟用此功能。）
• Special:OATH會在螢幕上呈現一個帶有帳戶名稱跟密钥的QR碼，您於機器上設定時會需要這項資訊來和伺服器配對。
• 掃描QR碼或是手動輸入帳戶名稱與秘密金鑰至您的TOTP機器上。
• 輸入TOTP機器上顯示的六位數驗證碼來完成啟用。

警告：您还将看到一連串的10个一次性回復代码。您应该打印出來并安全地保存此副本。如果您的TOTP客户端應用程式遗失或出现问题，除非您能访问这些代码，否則您将被锁在您的帐户之外。

• 一如往常，輸入用户名稱跟密碼來登入
• 輸入TOTP機器上提供的六位數字驗證碼。註：驗證碼每三十秒會更新一次。如果您的驗證碼一直被拒绝，请检查安装验证应用程序的设备上的时间是否正确。

如果你在登入時選擇「保持我的登入狀態」選項，在正常的使用下你將不需要再次進行雙重認證。但是，在登出後或是清除cookie後，你將需要重新作雙重認證才可以登入。

部份涉及帳戶安全的更改，例如變更電郵地址、密碼等動作時，無論「保持登入狀態」選項是否已經勾選，你皆需要輸入驗證碼。

当通过API使用OAuth或机器人密钥进行登入时，双重验证功能无法被使用。

当仍使用双重验证保护您的完整访问时，您可以使用OAuth或机器人密码來限定API工作階段至特定的某些操作。请注意，OAuth和机器人密码不能用于交互式网站的登录、仅限用于API。

譬如，像自动维基浏览器（AWB）这类工具目前为止并未支持双重验证功能，但已经可以使用机器人密码。參見如何配置此功能的更多資訊。

如果您已經啟用2FA功能，移除那個讓您可以註冊2FA的權限並不會停用2FA。您需要按照以下的流程將它停用。

• 進入Special:OATH或偏好設定。如果您已經不在擁有註冊權限的用户组之中，您仍可以透過Special:OATH來停用這個功能。
• 在停用雙重驗證頁面上，輸入您認證機器上的驗證碼來完成停用。

在您完成啟用雙重認證之後，在螢幕上會顯示五組恢復金鑰。請務必列印這些代碼，并將其存放在安全的地方，因為如果您失去對您的2FA裝置的存取權的話，您需要使用它們來恢復賬號。重要提醒：這些代碼每個只能使用一次；一旦使用就會即時作廢。在您使用一個后，您可以拿筆來劃記哪個代碼已經被使用。如果要重新產生備用金鑰的話，您需要停用並重新啟用雙重驗證。

這個動作將會需要兩組備用金鑰：一組用來登入，而一組用來停用雙重認證。我們建議您在使用任一備用金鑰之後立即重新產生一套新的代碼。

如果您现有的2FA设备只是停止生成正确的代码，请检查其时钟的准确度是否合理。在我们的Wiki上，基于时间的OTP代码在当设备时间与标准时间相差2分钟时将无法验证。

在您停用雙重驗證時，會需要提供當初在啟用功能時所顯示的備用金鑰。這將會使用兩組代碼來達成：

• 您必須登入：如果您還沒有登入的話，這將會用掉一組代碼。
• 造訪Special:OATH並使用另一組代碼來停用雙重驗證。

如果您沒有足夠的備用金鑰，您可以在cawikimedia.org聯絡Trust and Safety來請求從您的帳號移除2FA（請使用您註冊維基帳戶的電子郵件地址寄送）。您如果還能存取Phabricator，那也可以建立一個任務。請注意，工作人員不一定會移除2FA。

有關如何請求移除您開發者帳戶的2FA，請參見wikitech:Password and 2FA reset#For users。

請注意，本頁面多數指引是針對TOTP方法。WebAuthn方法目前更多地是實驗性，沒有恢復方式（參見phab:T244348）。 WebAuthn有一个已知问题，您必须在启动它的同一项目上进行以后的登录 （追踪任务）。

• 請參考中文維基百科條目多重要素驗證及對應的維基數據項目來了解多重驗證
• 在Phabricator協作和追蹤維基媒體雙重驗證功能的已知Bug與請求改進。
• OATHAuth是用于此功能的MediaWiki扩展套件
• 維基媒體安全團隊/用於中心驗證wiki的雙重驗證
• 在MediaWiki.org上的資訊：Help:雙重驗證