Jump to content

วิธีใช้:การตรวจสอบสิทธิ์แบบสองขั้นตอน

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page Help:Two-factor authentication and the translation is 74% complete.
Outdated translations are marked like this.
Shortcut:
H:2FA
หน้านี้อธิบายเกี่ยวกับการตรวจสอบสิทธิ์แบบสองขั้นตอนของโครงการในมูลนิธิวิกิพีเดีย สำหรับเอกสารประกอบของส่วนขยายที่เพิ่มฟังก์ชันการทำงานนี้โปรดดู เอกสารประกอบของส่วนขยาย

การใช้ การตรวจสอบสิทธิ์แบบสองขั้นตอน ของวิกิมีเดียคือ (2FA) เป็นหนทางหนึ่งในการเสริมสร้างความปลอดภัยให้กับบัญชีของคุณ หากคุณเปิดใช้งานการรับรองความถูกต้องสองขั้นตอน คุณจะถูกขอให้ป้อนรหัสการตรวจสอบสิทธิ์หกหลักทุกครั้งนอกเหนือจากรหัสผ่านของคุณ รหัสนี้มีให้โดยแอปบน สมาร์ทโฟน หรืออุปกรณ์การตรวจสอบสิทธิ์อื่น ๆ ในการลงชื่อเข้าใช้คุณต้องทราบรหัสผ่านของคุณและมีอุปกรณ์การตรวจสอบความถูกต้องเพื่อสร้างรหัส

บัญชีที่ได้รับผลกระทบ

การตรวจสอบสิทธิ์แบบสองขั้นตอนในวิกิมีเดียนั้นกำลังอยู่ระหว่างการทดลองและไม่บังคับ (ยกเว้นบางกรณี) การลงทะเบียนต้องใช้การเข้าถึง (oathauth-enable) ขณะนี้อยู่ระหว่างการทดสอบการออกผลกับผู้ดูแลระบบ (และผู้ใช้ที่มีสิทธิ์เช่นเดียวกับผู้ดูแลระบบ เช่น ผู้แก้ไขอินเตอร์เฟซ), ผู้ดูแลระบบสิทธิ์แต่งตั้ง, ผู้ตรวจสอบผู้ใช้, ผู้ดูแลประวัติ, ผู้ดูแลโครงการ, ผู้จัดการตัวกรองการแก้ไข และกลุ่มส่วนกลางผู้ทดสอบ-OATH

กลุ่มผู้ใช้ที่บังคับใช้

การเปิดใช้งานการตรวจสอบสิทธิ์แบบสองขั้นตอน

  • มี (oathauth-enable) access (โดยค่าเริ่มต้น มีให้สำหรับผู้ดูแลระบบ ผู้ดูแลระบบสิทธิ์แต่งตั้ง ผู้ยับยั้ง ผู้ใช้ตรวจสอบ และกลุ่มผู้ใช้ที่มีสิทธิพิเศษอื่น ๆ)
  • มีหรือติดตั้งไคลเอนต์ Time-based One-time Password Algorithm (TOTP) สำหรับผู้ใช้ส่วนใหญ่ จะเป็นแอปพลิเคชันบนโทรศัพท์หรือแท็บเล็ต แอพที่แนะนำโดยทั่วไป ได้แก่:
    • โอเพนซอร์ส: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), พาสแมน (NextCloud), KeePassXC (Linux, macOS, Windows)
    • แหล่งที่มาแบบปิด: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
    • General comparison of many common OTP applications which could be used as TOTP client for 2FA (English Wikipedia)
    • คุณยังสามารถใช้ไคลเอนต์เดสก์ท็อป เช่น OATH Toolkit (Linux, macOS ผ่าน Homebrew) หรือ WinAuth (Windows) โปรดทราบว่าหากคุณเข้าสู่ระบบจากคอมพิวเตอร์ที่ใช้สร้างรหัส TOTP วิธีการนี้จะไม่ปกป้องบัญชีของคุณหากผู้โจมตีเข้าถึงคอมพิวเตอร์ของคุณได้
    • ผู้จัดการรหัสผ่าน เช่น 1Password, Bitwarden และ KeePass มีแนวโน้มที่จะสนับสนุน/มีปลั๊กอินเพื่อรองรับ TOTP สิ่งนี้มีข้อจำกัดเช่นเดียวกับข้างต้น แต่อาจคุ้มค่าที่จะพิจารณาหากคุณใช้สิ่งอื่นอยู่แล้ว
      ภาพรวมของส่วนการตั้งค่าเพื่อเปิดใช้งานการตรวจสอบสิทธิ์แบบสองขั้นตอน
  • ไปที่ Special:OATH ในโครงการที่คุณถือหนึ่งในสิทธิ์ข้างต้นบน (มีลิงก์นี้จาก preferences ของคุณด้วย) (สำหรับผู้ใช้ส่วนใหญ่ สิ่งนี้จะไม่ปรากฏบนเมทา-วิกิ)
  • Special:OATH นำเสนอ QR code ที่มี ชื่อบัญชีแบบสองปัจจัย และ รหัสลับแบบสองปัจจัย ซึ่งจำเป็นสำหรับการจับคู่ลูกค้าของคุณกับ เซิฟเวอร์
  • สแกนคิวอาร์โค้ดหรือป้อนชื่อบัญชีแบบสองปัจจัยและคีย์ลงในไคลเอ็นต์ TOTP ของคุณ
  • ป้อนรหัสยืนยันตัวตนจากไคลเอนต์ TOTP ของคุณลงในหน้าจอ OATH เพื่อลงทะเบียนให้เสร็จสมบูรณ์

การเข้าสู่ระบบ

หน้าจอเข้าสู่ระบบ
  • ระบุชื่อผู้ใช้และรหัสผ่านแล้วส่งตามเดิม
  • ป้อนรหัสยืนยันตัวตน 6 หลักแบบครั้งเดียวตามที่ลูกค้า TOTP ให้มา หมายเหตุ: รหัสนี้เปลี่ยนทุก ๆ 30 วินาที

จดจำฉันในระบบ

หากคุณเลือกตัวเลือกนี้เมื่อเข้าสู่ระบบ โดยปกติคุณไม่จำเป็นต้องป้อนรหัสยืนยันตัวตนเมื่อใช้เบราว์เซอร์เดียวกัน การดำเนินการต่าง ๆ เช่น การออกจากระบบหรือการล้างคุกกี้ของเบราว์เซอร์จะต้องใช้รหัสในการเข้าสู่ระบบครั้งต่อไปของคุณ

การกระทำที่ละเอียดอ่อนต่อความปลอดภัยบางอย่าง เช่น การเปลี่ยนที่อยู่อีเมลหรือรหัสผ่าน อาจกำหนดให้คุณตรวจสอบสิทธิ์อีกครั้งด้วยรหัส แม้ว่าคุณจะเลือกตัวเลือกให้ฉันอยู่ในระบบก็ตาม

การเข้าถึง API

ไม่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเมื่อใช้ OAuth หรือ รหัสผ่านบอท เพื่อเข้าสู่ระบบผ่าน API

คุณสามารถใช้รหัสผ่าน OAuth หรือบอตเพื่อจำกัดเซสชัน API เฉพาะการกระทำบางอย่าง ในขณะที่ยังคงใช้การรับรองความถูกต้องด้วยสองปัจจัยเพื่อปกป้องการเข้าถึงแบบเต็มของคุณ โปรดทราบว่ารหัสผ่าน OAuth และบอตไม่สามารถใช้เพื่อเข้าสู่ระบบแบบโต้ตอบกับเว็บไซต์ได้ ใช้กับ API เท่านั้น

ตัวอย่างเช่น เครื่องมืออย่าง AutoWikiBrowser (AWB) ยังไม่สนับสนุนการตรวจสอบสิทธิ์แบบสองปัจจัย แต่สามารถใช้รหัสผ่านของบอตได้ คุณอาจพบ ข้อมูลเพิ่มเติมเกี่ยวกับวิธีกำหนดค่านี้

การปิดใช้งานการช่วยตรวจสอบความถูกต้องสองขั้นตอน

ยกเลิกการลงทะเบียน
  • ไปที่ Special:OATH หรือ preferences หากคุณไม่ได้อยู่ในกลุ่มที่ได้รับอนุญาตให้ลงทะเบียนแล้ว คุณยังสามารถปิดใช้งานได้ผ่าน Special:OATH
  • ในหน้า disable two-factor authentication ให้ใช้อุปกรณ์ตรวจสอบความถูกต้องของคุณเพื่อสร้างรหัสเพื่อดำเนินการให้เสร็จสิ้น

Scratch codes

OATH ตัวอย่างscratch codes

เมื่อลงทะเบียนในการยืนยันตัวตนแบบสองปัจจัย คุณจะได้รับรายการ scratch code แบบใช้ครั้งเดียวสิบรายการ โปรดพิมพ์รหัสเหล่านั้นและเก็บไว้ในที่ปลอดภัย เนื่องจากคุณอาจต้องใช้รหัสเหล่านี้ในกรณีที่คุณไม่สามารถเข้าถึงอุปกรณ์ 2FA ของคุณได้ สิ่งสำคัญคือต้องทราบว่ารหัสแต่ละรหัสเหล่านี้เป็น ใช้เพียงครั้งเดียว; อาจใช้เพียงครั้งเดียวแล้วหมดอายุ หลังจากใช้รหัสแล้ว คุณสามารถขีดทับด้วยปากกาหรือทำเครื่องหมายว่ามีการใช้รหัสแล้ว หากต้องการสร้างรหัสชุดใหม่ คุณจะต้องปิดใช้งานและเปิดใช้การตรวจสอบสิทธิ์แบบสองปัจจัยอีกครั้ง

การปิดใช้งานการช่วยตรวจสอบความถูกต้องสองขั้นตอนโดยไม่ใช้อุปกรณ์การช่วยตรวจสอบความถูกต้อง

การดำเนินการนี้อาจต้องใช้ scratch code สอง รหัสหนึ่งเพื่อเข้าสู่ระบบ และอีกรหัสหนึ่งเพื่อปิดใช้งาน หากคุณจำเป็นต้องใช้ scratch code ใด ๆ ของคุณ ขอแนะนำให้ปิดการใช้งานและเปิดใช้ใหม่อีกครั้งเพื่อสร้างชุดรหัสใหม่โดยเร็วที่สุด

การกู้คืนจากอุปกรณ์การช่วยตรวจสอบความถูกต้องที่สุญหายหรือพัง

หากคุณมีอุปกรณ์ 2FA ที่มีอยู่ซึ่งเพิ่งหยุดสร้างรหัสที่ถูกต้อง ให้ตรวจสอบว่านาฬิกานั้นเที่ยงตรงพอสมควร OTP ตามเวลาบนวิกิของเราเป็นที่ทราบกันดีว่าล้มเหลวโดยมีความแตกต่างกัน 2 นาที

คุณจะต้องเข้าถึง scratch code ที่ได้รับเมื่อลงทะเบียนเพื่อยกเลิกการลงทะเบียนจากการรับรองความถูกต้องด้วยสองปัจจัย คุณจะต้องใช้ scratch code สูงสุด สอง เพื่อทำสิ่งนี้ให้สำเร็จ:

  • คุณต้องเข้าสู่ระบบ หากคุณยังไม่ได้เข้าสู่ระบบ จะต้องใช้ scratch code
  • ไปที่ Special:OATH และใช้ scratch code อื่นเพื่อปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย

หากคุณมี scratch codes ไม่พอ คุณสามารถติดต่อ ความน่าเชื่อถือและความปลอดภัย ที่ ca(_AT_)wikimedia.org เพื่อขอลบ 2FA ออกจากบัญชีของคุณ (โปรดส่งอีเมลโดยใช้ที่อยู่อีเมลที่ลงทะเบียนของคุณ บัญชีวิกิ) นอกจากนี้ คุณควรสร้างงานบน Phabricator หากคุณยังสามารถเข้าถึงได้ โปรดทราบว่าเจ้าหน้าที่ไม่สามารถลบ 2FA ได้เสมอไป

ดู wikitech:Password and 2FA reset#For users สำหรับคำแนะนำในการขอลบ 2FA สำหรับ Developer account

วิธีการยืนยันตัวเว็บ

โปรดทราบว่าคำแนะนำส่วนใหญ่ในหน้านี้เป็นวิธีการ TOTP โดยเฉพาะ เมธอด WebAuthn เป็นการทดลองมากกว่าและไม่มีตัวเลือกในการกู้คืนในขณะนี้ (เปรียบเทียบ งานของนักพัฒนาซอฟต์แวร์ที่เกี่ยวข้อง) WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).

ดูเพิ่ม