帮助:双重认证
维基媒体实行的双因素身份验证(2FA)是一种加强账号安全的方式。如果你开启了双因素身份验证,除了密码外,您每次都会被要求输入一个一次性的六位数验证码。此密码将会由你的智能手机上的一个APP或其他的认证设备所提供。为了登录,您必须知道自己的密码,并准备好用于生成密码的身份验证设备。
对账号的影响
目前在维基媒体网站,双因素身份验证是一个实验性及自愿参与(有例外)的功能。加入测试需要拥有(oathauth-enable)权限,目前于产品端供管理员(包括接口编辑员等有类似管理权限的用户)、行政员、用户查核员、监督员、监管员、过滤器编辑员以及OATH测试员开放测试。
强制使用的用户组
- 需要开启双因素身份验证的用户组
- 2025年5月公告: 部分高级权限用户强制开启双因素身份验证
开启双因素身份验证功能
- 拥有
(oathauth-enable)权限(默认情况下,管理员、行政员、监督员、用户查核员与其他已赋予权限的用户组等拥有此权限) - 拥有或已安装基于时间的一次性密码算法(TOTP)的用户端。对大多数用户来说,这将需要手机或平板电脑应用程序。可以使用任何兼容的应用程序,一些流行的应用程序包括:
- 开源:Aegis (Android、F-Droid)、FreeOTP(Android、F-Droid、iOS)、2FAS (Android、iOS), Bitwarden Authenticator (Android、iOS)、Authenticator(iOS)、Authenticator.cc (Chrome, Firefox & Edge)、Passman (NextCloud)、KeePassXC (Linux, macOS, Windows)
- 闭源:Google身份验证器(安卓 iOS),以及来自其他大多数大型科技巨头的验证器应用程序。
- 可用作2FA的TOTP用户端的常见OTP应用程序的比较(英文维基百科)
- 您亦可使用桌面客户端应用程序,如OATH Toolkit (透过Homebrew的Linux,macOS)、或WinAuth (Windows)。请谨记,若您通过电脑生成TOTP验证码,当攻击者获得电脑访问权限时,此方法无法保护您的帐户。
- 密码管理器诸如Bitwarden、KeePass和Proton Pass等也可能有支持或拥有相应支持TOTP的插件。这些工具与上述工具受到相同的限制,但是如果您已经使用了上述工具中的一个,则这些密码管理器也可能值得考虑。
简介如何在偏好栏启用双重验证功能。
- 在拥有上述权限的站点中进入Special:OATH(这个链接也可透过首选项进入)。(然而对大多数的用户来说,没办法透过元维基的页面激活此功能。)
- Special:OATH会在屏幕上呈现一个带有账户名称跟密钥的QR码,您于机器上设置时会需要这项信息来和服务器配对。
- 扫描QR码或是手动输入账户名称与秘密密钥至您的TOTP机器上。
- 输入TOTP机器上显示的六位数验证码来完成激活。
| 警告:您还将看到一连串的10个一次性恢复代码。您应该打印出来并安全地保存此副本。如果您的TOTP客户端应用程序遗失或出现问题,除非您能访问这些代码,否则您将被锁在您的帐户之外。 |
登录
- 一如往常,输入用户名称跟密码来登录
- 输入TOTP机器上提供的六位数字验证码。注:验证码每三十秒会更新一次。如果您的验证码一直被拒绝,请检查安装验证应用程序的设备上的时间是否正确。
保持我的登录状态
如果你在登录时选择“保持我的登录状态”选项,在正常的使用下你将不需要再次进行双因素身份验证。但是,在退出后或是清除cookie后,你将需要重新作双因素身份验证才可以登录。
部分涉及账户安全的更改,例如变更电邮地址、密码等动作时,无论“保持登录状态”选项是否已经勾选,你皆需要输入验证码。
以API登录维基
当通过API使用OAuth或机器人密钥进行登录时,双重验证功能无法被使用。
当仍使用双重验证保护您的完整访问时,您可以使用OAuth或机器人密码来限定API工作阶段至特定的某些操作。请注意,OAuth和机器人密码不能用于交互式网站的登录、仅限用于API。
譬如,像自动维基浏览器(AWB)这类工具目前为止并未支持双重验证功能,但已经可以使用机器人密码。参见如何配置此功能的更多信息。
停用双重验证功能
| 如果您已经激活2FA功能,移除那个让您可以注册2FA的权限并不会停用2FA。您需要按照以下的流程将它停用。 |
- 进入Special:OATH或首选项。如果您已经不在拥有注册权限的用户组之中,您仍可以透过Special:OATH来停用这个功能。
- 在停用双重验证页面上,输入您认证机器上的验证码来完成停用。
恢复密钥
在您完成激活双因素身份验证之后,在屏幕上会显示五组恢复密钥。请务必打印这些代码,并将其存放在安全的地方,因为如果您失去对您的2FA设备的访问权的话,您需要使用它们来恢复账号。重要提醒:这些代码每个只能使用一次;一旦使用就会即时作废。在您使用一个后,您可以拿笔来划记哪个代码已经被使用。如果要重新产生备用密钥的话,您需要停用并重新激活双重验证。
在没有受信任设备的情况下停用双重验证功能
这个动作将会需要两组备用密钥:一组用来登录,而一组用来停用双因素身份验证。我们建议您在使用任一备用密钥之后立即重新产生一套新的代码。
从遗失或损坏的受信任设备中恢复
如果您现有的2FA设备只是停止生成正确的代码,请检查其时钟的准确度是否合理。在我们的Wiki上,基于时间的OTP代码在当设备时间与标准时间相差2分钟时将无法验证。
在您停用双重验证时,会需要提供当初在激活函数时所显示的备用密钥。这将会使用两组代码来达成:
- 您必须登录:如果您还没有登录的话,这将会用掉一组代码。
- 访问Special:OATH并使用另一组代码来停用双重验证。
如果您没有足够的备用密钥,您可以在ca
wikimedia.org联系Trust and Safety来请求从您的账号移除2FA(请使用您注册维基账户的电邮地址寄送)。您如果还能访问Phabricator,那也可以创建一个任务。请注意,工作人员不一定会移除2FA。
有关如何请求移除您开发者账户的2FA,请参见wikitech:Password and 2FA reset#For users。
Web Authentication 方法
请注意,本页面多数说明是针对TOTP方法。WebAuthn方法目前更多地是实验性,没有恢复方式(参见phab:T244348)。WebAuthn有一个已知问题,您需要在引导它后的项目上再次登录(查看任务)。WebAuthn目前无法在手机APP上使用(参见T230043)。
参见
- 请参考中文维基百科条目多重要素验证及对应的维基数据项目来了解多重验证
- 在Phabricator协作和追踪维基媒体双重验证功能的已知Bug与请求改进。
- OATHAuth是用于此功能的MediaWiki扩展包
- 维基媒体安全团队/用于中心验证wiki的双重验证
- 在MediaWiki.org上的信息:Help:双重验证