說明:雙重認證
維基媒體實行的雙重認證(2FA)是一種加強賬號安全的方式。如果你開啟了雙重認證,除了密碼外,您每次都會被要求輸入一個一次性的六位數驗證碼。此密碼將會由你的智能手機上的一個APP或其他的認證裝置所提供。為了登錄,您必須知道自己的密碼,並準備好用於生成密碼的身份驗證裝置。
對賬號的影響
目前在維基媒體網站,雙重認證是一個實驗性及自願參與(有例外)的功能。加入測試需要擁有(oathauth-enable)權限,目前於產品端供管理員(包括介面編輯員等有類似管理權限的使用者)、行政員、用戶查核員、監督員、監管員、過濾器編輯員以及OATH測試員開放測試。
強制使用的用戶組
- 需要開啟雙重認證的用戶組
- 2025年5月公告: 部分高級權限使用者強制開啟雙重認證
開啟雙重認證功能
- 擁有
(oathauth-enable)權限(預設情況下,管理員、行政員、監督員、用戶查核員與其他已賦予權限的用戶組等擁有此權限) - 擁有或已安裝基於時間的一次性密碼演算法(TOTP)的用戶端。對大多數使用者來說,這將需要手機或平板電腦應用程式。可以使用任何相容的應用程式,一些流行的應用程式包括:
- 開源:Aegis (Android、F-Droid)、FreeOTP(Android、F-Droid、iOS)、2FAS (Android、iOS), Bitwarden Authenticator (Android、iOS)、Authenticator(iOS)、Authenticator.cc (Chrome, Firefox & Edge)、Passman (NextCloud)、KeePassXC (Linux, macOS, Windows)
- 閉源:Google身份驗證器(安卓 iOS),以及來自其他大多數大型科技巨頭的驗證器應用程式。
- 可用作2FA的TOTP用戶端的常見OTP應用程式的比較(英文維基百科)
- 您亦可使用桌面客戶端應用程式,如OATH Toolkit (透過Homebrew的Linux,macOS)、或WinAuth (Windows)。請謹記,若您通過電腦生成TOTP驗證碼,當攻擊者獲得電腦存取權限時,此方法無法保護您的帳戶。
- 密碼管理器諸如Bitwarden、KeePass和Proton Pass等也可能有支援或擁有相應支援TOTP的外掛程式。這些工具與上述工具受到相同的限制,但是如果您已經使用了上述工具中的一個,則這些密碼管理器也可能值得考慮。
簡介如何在偏好欄啟用雙重驗證功能。
- 在擁有上述權限的站點中進入Special:OATH(這個連結也可透過參數設置進入)。(然而對大多數的用戶來說,沒辦法透過元維基的頁面啟用此功能。)
- Special:OATH會在熒幕上呈現一個帶有賬戶名稱跟金鑰的QR碼,您於機器上設置時會需要這項資訊來和伺服器配對。
- 掃描QR碼或是手動輸入賬戶名稱與秘密金鑰至您的TOTP機器上。
- 輸入TOTP機器上顯示的六位數驗證碼來完成啟用。
| 警告:您還將看到一連串的10個一次性回復代碼。您應該列印出來並安全地儲存此副本。如果您的TOTP客戶端應用程式遺失或出現問題,除非您能存取這些代碼,否則您將被鎖在您的帳戶之外。 |
登錄
- 一如往常,輸入用戶名稱跟密碼來登錄
- 輸入TOTP機器上提供的六位數字驗證碼。註:驗證碼每三十秒會更新一次。如果您的驗證碼一直被拒絕,請檢查安裝驗證應用程式的裝置上的時間是否正確。
保持我的登錄狀態
如果你在登錄時選擇「保持我的登錄狀態」選項,在正常的使用下你將不需要再次進行雙重認證。但是,在退出後或是清除cookie後,你將需要重新作雙重認證才可以登錄。
部份涉及賬戶安全的更改,例如變更電郵地址、密碼等動作時,無論「保持登錄狀態」選項是否已經勾選,你皆需要輸入驗證碼。
以API登錄維基
當通過API使用OAuth或機械人金鑰進行登錄時,雙重驗證功能無法被使用。
當仍使用雙重驗證保護您的完整存取時,您可以使用OAuth或機械人密碼來限定API工作階段至特定的某些操作。請注意,OAuth和機械人密碼不能用於互動式網站的登錄、僅限用於API。
譬如,像自動維基瀏覽器(AWB)這類工具目前為止並未支援雙重驗證功能,但已經可以使用機械人密碼。參見如何組態此功能的更多資訊。
停用雙重驗證功能
| 如果您已經啟用2FA功能,移除那個讓您可以註冊2FA的權限並不會停用2FA。您需要按照以下的流程將它停用。 |
- 進入Special:OATH或參數設置。如果您已經不在擁有註冊權限的用戶組之中,您仍可以透過Special:OATH來停用這個功能。
- 在停用雙重驗證頁面上,輸入您認證機器上的驗證碼來完成停用。
恢復金鑰
在您完成啟用雙重認證之後,在熒幕上會顯示五組恢復金鑰。請務必列印這些代碼,並將其存放在安全的地方,因為如果您失去對您的2FA裝置的存取權的話,您需要使用它們來恢復賬號。重要提醒:這些代碼每個只能使用一次;一旦使用就會即時作廢。在您使用一個後,您可以拿筆來劃記哪個代碼已經被使用。如果要重新產生備用金鑰的話,您需要停用並重新啟用雙重驗證。
在沒有受信任裝置的情況下停用雙重驗證功能
這個動作將會需要兩組備用金鑰:一組用來登錄,而一組用來停用雙重認證。我們建議您在使用任一備用金鑰之後立即重新產生一套新的代碼。
從遺失或損壞的受信任裝置中恢復
如果您現有的2FA裝置只是停止生成正確的代碼,請檢查其時鐘的準確度是否合理。在我們的Wiki上,基於時間的OTP代碼在當裝置時間與標準時間相差2分鐘時將無法驗證。
在您停用雙重驗證時,會需要提供當初在啟用功能時所顯示的備用金鑰。這將會使用兩組代碼來達成:
- 您必須登錄:如果您還沒有登錄的話,這將會用掉一組代碼。
- 造訪Special:OATH並使用另一組代碼來停用雙重驗證。
如果您沒有足夠的備用金鑰,您可以在ca
wikimedia.org聯絡Trust and Safety來請求從您的賬號移除2FA(請使用您註冊維基賬戶的電子郵件地址寄送)。您如果還能存取Phabricator,那也可以建立一個任務。請注意,工作人員不一定會移除2FA。
有關如何請求移除您開發者賬戶的2FA,請參見wikitech:Password and 2FA reset#For users。
Web Authentication 方法
請注意,本頁面多數說明是針對TOTP方法。WebAuthn方法目前更多地是實驗性,沒有恢復方式(參見phab:T244348)。WebAuthn有一個已知問題,您需要在開機它後的專案上再次登錄(檢視任務)。WebAuthn目前無法在手機APP上使用(參見T230043)。
參見
- 請參考中文維基百科條目多重要素驗證及對應的維基數據項目來了解多重驗證
- 在Phabricator協作和追蹤維基媒體雙重驗證功能的已知Bug與請求改進。
- OATHAuth是用於此功能的MediaWiki擴展功能套件
- 維基媒體安全團隊/用於中心驗證wiki的雙重驗證
- 在MediaWiki.org上的資訊:Help:雙重驗證