עזרה:אימות דו-שלבי

אימות דו־שלבי או אימות דו-גורמי (באנגלית: Two-Factor Authentication, 2FA) היא שיטה ותקן אבטחת מידע, שמאפשר אימות זהות של משתמש בשירות מִחשוב תוך הסתמכות על גורם נוסף, פרט לסיסמה. סיסמה עלולה להיגנב או להיפרץ, ולצורך הגיבוי למקרים אלו, ניתן להגדיר באתרים רבים דרישה לגורם אימות שני.^[1] במקרים שכוללים יותר מגורם אימות נוסף יחיד, האימות מכונה אימות רב־שלבי (באנגלית: Multi-Factor Authentication, MFA).^[2]

אימות דו־שלבי (באנגלית: Two-Step Verification, 2SV) הוא מקרה פרטי של אימות דו־גורמי, שבו גורם הזיהוי הנוסף הוא סיסמה חד־פעמית שמתקבלת במסרון, דוא״ל או באמצעות מחולל מתאים.^[א] הזנת הסיסמה החד־פעמית מתבצעת לאחר הזנת הסיסמה הקבועה, ומכאן השם ”דו־שלבי“.

באתרי ויקימדיה, ובהם ויקיפדיה, קיימת הרשאה הקרויה oathauth-enable, המאפשרת למחזיקים בה להפעיל בחשבונם אימות דו־שלבי. האימות מתבצע בכניסה לחשבון המשתמש הגלובלי, ללא תלות בשאלה באיזה אתר ויקי בוצעה הכניסה. במיזמי ויקימדיה אין אפשרות להפעלת אימות דו־שלבי באמצעות מסרון או דוא"ל, והפקת הסיסמאות מתבצעת באמצעות מחולל. ניצול ההרשאה להפעלת אימות דו־שלבי משפר את אבטחת החשבון שלכם,^[3] וכפועל יוצא – גם את אבטחת ויקיפדיה.

נכון לדצמבר 2021, הפעלת האימות מאופשרת לעורכים בוויקיפדיה העברית החברים באחת או יותר משמונה קבוצות המשתמש הבאות: מפעילי מערכת, בירוקרטים, בודקים, עורכי ממשק, עורכי תבניות, מסתירים, מייבאים ומייבאים בין־אתריים.^[4] קבוצות אלה מעניקות לחברים בהן גישה ליכולות טכניות רגישות יחסית, ולכן אימות דו־שלבי הוא רלוונטי במיוחד עבורם.

משתמשים שאינם חברים באחת מקבוצות אלה ואינם חברים בקבוצות משתמש באתרי ויקי אחרים המאפשרות את ההרשאה, ומעוניינים בה, יכולים לפנות לדף זה באתר מטא־ויקי, ולבקש חברות בקבוצה גלובלית הנקראת בודקי אימות דו־שלבי, אשר מאפשרת את הפעלת ההרשאה בחשבון הגלובלי. את ההרשאה מעניקים ומסירים דיילים, והם לרוב ממלאים את הבקשה, אלא אם כן הם מוצאים סיבה למנוע זאת. על פי נוהלי הקרן, יש לקרוא לפני כן את דף ההסבר המפורט המכיל מידע על ההרשאה ואופן תפעולה.^[5]

לנוחיותכם, מוצג כאן דף מקביל בעברית – הסבר נוסף על הבקשה עצמה מובא בסוף הדף.

1. 

   יש לקבל גישת (oathauth-enable), הסבר בסוף הדף.
2. השיגו מחולל TOTP מתאים. האפשרות הנוחה ביותר לרוב המשתמשים היא התקנת יישומון על הטלפון החכם:
   • תוכנות בקוד פתוח: FreeOTP (אנדרואיד, iOS), FreeOTP+ (אנדרואיד), andOTP (אנדרואיד), Authenticator ‏(iOS), Authenticator.cc (דפדפני כרום, פיירפוקס ואדג'), Passman ‏(NextCloud)
   • תוכנות בקוד סגור: Authy (אנדרואיד, iOS, macOS, Windows), Google Authenticator (אנדרואיד, iOS), Microsoft Authenticator‏ (אנדרואיד, iOS)
   • אפשרויות נוספות:
     • OATH Toolkit (לינוקס, macOS באמצעות Homebrew)
     • WinAuth (Windows)

   ראו השוואה בויקי האנגלית בין חלק מהכלים הנוספים האפשריים

   בנוסף, רבים ממנהלי הסיסמאות מכילים מחולל TOTP.

   שימו לב: בעת שימוש במחולל באותו המכשיר שדרכו אתם מתחברים בדרך כלל לוויקיפדיה ישנו סיכון מסוים: אם המכשיר ייפרץ או ייגנב, גם הסיסמה וגם המחולל יהיו נגישים כשתי ביצים באותו הסל. עם זאת, עדיף להפעיל מחולל TOTP באותו המכשיר, על פני סיסמה בלבד ללא 2FA.

3. פנו לדף מיוחד:OATH, ולחצו ”הפעלה“ על שיטת ה־TOTP. יופיע בפניכם קוד QR שעליכם לסרוק באמצעות מחולל ה־TOTP שהשגתם בשלב הקודם. לחילופין, בחלק מהמחוללים ניתן להקליד את שם המשתמש והמפתח שמתחתיו במקום לסרוק את קוד ה־QR. הזנה זו מהווה את הגרעין ההתחלתי של האלגוריתם שייצר מעתה והלאה סיסמאות חד־פעמית בעלות תוקף של 30 שניות.
4. בנוסף, בשלב זה יוצגו בפניכם 10 סיסמאות חד־פעמיות, אך חסרות תאריך תפוגה, שנועדו לשמש לכניסה לחשבון במקרים שבהם אבדה הגישה למחולל ה־TOTP, או שבשל תקלה טכנית אותן TOTP לא מתקבלות ולא מאפשרות לכם כניסה לחשבון.

   עליכם לשמור את עשר סיסמאות הגיבוי הללו במקום בטוח.

5. לאחר שסיסמאות הגיבוי נשמרו היטב, פנו להקליד את ה־TOTP מהמחולל בתיבת האישור שבתחתית הדף, ואשרו את הפעלת האימות הדו־שלבי.

האימות הדו־שלבי יופעל מיד.

מעתה, בכל ניסיון כניסה לחשבון, תידרש הקלדה של ה־TOTP מתוך המחולל – וזאת בנוסף ולאחר הקלדת שם המשתמש והסיסמה.

אם תבחרו בעת הכניסה לחשבון את האפשרות ”לזכור שנכנסתי“, לרוב לא תזדקקו להזין את ה־TOTP, במכשיר בו התחברתם.

פעולות כמו ניקוי מטמון הדפדפן או יציאה מהחשבון יבטלו את הזכירה הזו, ויגרמו לדרישה מחדש של הזנת ה־TOTP במכשיר.

בנוסף, למרות הפעלת הזכירה וללא ביטולה, ישנן פעולות חשבון רגישות, כגון שינוי דוא״ל, המחייבות כניסה מחדש לחשבון, כולל הזנת שם משתמש, סיסמה ו־TOTP.

2FA לא ניתן לשימוש ב־OAuth או בסיסמאות בוט – שיטות שמאפשרות התחברות בגישה לחשבון ללא צורך בהזדהות מלאה באמצעות שם משתמש וסיסמה, אלא באמצעות אמצעים אחרים.

בהתחברויות כאלו ישנה אפשרות להשתמש ב־2FA בכל זאת אך תוך אפשרות בשימוש רק בחלק מיכולות החשבון.

למשל, כלים כמו AWB אינם תומכים עדיין ב־2FA, אך עדיין ניתן להשתמש בעבורם בסיסמאות בוטים. למידע נוסף על אופן ההגדרה ניתן לקרוא את הדף Wikipedia:Using AWB with 2FA.

שימו לב! אם הפעלתם אימות דו־שלבי, הסרת הרשאת ”oathauth-enable“ לא תסיר את האימות הדו־שלבי. כדי להסירו יש לפעול על פי ההוראות שלהלן.

1. לכו אל מיוחד:OATH או אל מיוחד:העדפות#mw-prefsection-personal. (אם הרשאת ”oathauth-enable“ הוסרה אצלכם, אתם עדיין יכולים להסיר את האימות הדו־שלבי בדף זה).
2. בדף ניהול אימות דו־שלבי, תחת הכותרת שיטת האימות המופעלת, לחצו על כפתור הכיבוי ולאחר מכן הכניסו את הקוד אשר ניתן לכם על ידי מחולל ה־TOTP. (ניתן להזין במקום זאת גם את אחת מעשר סיסמאות הגיבוי).

פנו לדף זה, והדביקו שם את קוד הוויקי הבא:

===2FA Tester for [[User:<שם המשתמש>|]] ===

{{sr-request
|status =
|domain = global
|user name = <שם המשתמש>
}}
<הצהרה על כך שקראתם את דף ההסבר ושהבנתם אותו>, thanks, –~~~~

קוד זה ייצור בקשה, בדומה לבקשה לדוגמה המוצגת משמאל. הדיילים לרוב ממלאים את הבקשה, אלא אם כן הם מוצאים סיבה למנוע זאת.

• אימות דו־שלבי

• דף ההסבר המקביל באנגלית
• דף הסבר טכני במדיה־ויקי