עזרה:אימות דו-שלבי

מתוך ויקיפדיה, האנציקלופדיה החופשית
(הופנה מהדף עזרה:2FA)
Gnome-stock person admin4.svg

אימות דו־גורמי (באנגלית: Two-Factor Authentication, 2FA) הוא שיטה ותקן אבטחת מידע, שמאפשר אימות זהות של משתמש בשירות מִחשוב תוך הסתמכות על גורם נוסף, פרט לסיסמה. סיסמה עלולה להיגנב או להיפרץ, ולצורך הגיבוי למקרים אלו, ניתן להגדיר באתרים רבים דרישה לגורם אימות שני.[1] במקרים שכוללים יותר מגורם אימות נוסף יחיד, האימות מכונה אימות רב־גורמי (באנגלית: Multi-Factor Authentication, MFA).[2]

אימות דו־שלבי (באנגלית: Two-Step Verification, 2SV) הוא מקרה פרטי של אימות דו־גורמי, שבו גורם הזיהוי הנוסף הוא סיסמה חד־פעמית שמתקבלת במסרון, דוא״ל או באמצעות מחולל מתאים.[א] הזנת הסיסמה החד־פעמית מתבצעת לאחר הזנת הסיסמה הקבועה, ומכאן השם ”דו־שלבי“.

בחשבונות ויקימדיה[עריכת קוד מקור | עריכה]

באתרי ויקימדיה, ובהם ויקיפדיה, קיימת הרשאה הקרויה oathauth-enable, המאפשרת למחזיקים בה להפעיל בחשבונם אימות דו־שלבי. האימות מתבצע בכניסה לחשבון המשתמש הגלובלי, ללא תלות בשאלה באיזה אתר ויקי בוצעה הכניסה. במיזמי ויקימדיה אין אפשרות להפעלת אימות דו־שלבי באמצעות מסרון או דוא"ל, והפקת הסיסמאות מתבצעת באמצעות מחולל. ניצול ההרשאה להפעלת אימות דו־שלבי משפר את אבטחת החשבון שלכם,[3] וכפועל יוצא – גם את אבטחת ויקיפדיה.

נכון לדצמבר 2021, הפעלת האימות מאופשרת לעורכים בוויקיפדיה העברית החברים באחת או יותר משמונה קבוצות המשתמש הבאות: מפעילי מערכת, בירוקרטים, בודקים, עורכי ממשק, עורכי תבניות, מסתירים, מייבאים ומייבאים בין־אתריים.[4] קבוצות אלה מעניקות לחברים בהן גישה ליכולות טכניות רגישות יחסית, ולכן אימות דו־שלבי הוא רלוונטי במיוחד עבורם.

משתמשים שאינם חברים באחת מקבוצות אלה ואינם חברים בקבוצות משתמש באתרי ויקי אחרים המאפשרות את ההרשאה, ומעוניינים בה, יכולים לפנות לדף זה באתר מטא־ויקי, ולבקש חברות בקבוצה גלובלית הנקראת בודקי אימות דו־שלבי, אשר מאפשרת את הפעלת ההרשאה בחשבון הגלובלי. את ההרשאה מעניקים ומסירים דיילים, והם לרוב ממלאים את הבקשה, אלא אם כן הם מוצאים סיבה למנוע זאת. על פי נוהלי הקרן, יש לקרוא לפני כן את דף ההסבר המפורט המכיל מידע על ההרשאה ואופן תפעולה.[5]

לנוחיותכם, מוצג כאן דף מקביל בעברית – הסבר נוסף על הבקשה עצמה מובא בסוף הדף.

הפעלת אימות דו־שלבי[עריכת קוד מקור | עריכה]

  1. דוגמה לממשק של מחולל סיסמאות חד פעמיות
    יש לקבל גישת (oathauth-enable), הסבר בסוף הדף.
  2. השיגו מחולל TOTP מתאים – האפשרות הנוחה ביותר לרוב המשתמשים היא התקנת יישומון על הטלפון החכם:
    ראו השוואה בויקי האנגלית בין חלק מהכלים הנוספים האפשריים
    בנוסף, רבים ממנהלי הסיסמאות מכילים מחולל TOTP.
    Attention yellow.png שימו לב: בעת שימוש במחולל באותו המכשיר שדרכו אתם מתחברים בדרך כלל לוויקיפדיה ישנו סיכון מסוים: אם המכשיר ייפרץ או ייגנב, גם הסיסמה וגם המחולל יהיו נגישים כשתי ביצים באותו הסל. עם זאת, עדיף להפעיל מחולל TOTP באותו המכשיר, על פני סיסמה בלבד ללא 2FA.
  3. פנו לדף מיוחד:OATH, ולחצו ”הפעלה“ על שיטת ה־TOTP. יופיע בפניכם קוד QR שעליכם לסרוק באמצעות מחולל ה־TOTP שהשגתם בשלב הקודם. לחילופין, בחלק מהמחוללים ניתן להקליד את שם המשתמש והמפתח שמתחתיו במקום לסרוק את קוד ה־QR. הזנה זו מהווה את הגרעין ההתחלתי של האלגוריתם שייצר מעתה והלאה סיסמאות חד־פעמית בעלות תוקף של 30 שניות.
  4. בנוסף, בשלב זה יוצגו בפניכם 10 סיסמאות חד־פעמיות, אך חסרות תאריך תפוגה, שנועדו לשמש לכניסה לחשבון במקרים שבהם אבדה הגישה למחולל ה־TOTP, או שבשל תקלה טכנית אותן TOTP לא מתקבלות ולא מאפשרות לכם כניסה לחשבון.

    Stop hand.svg עליכם לשמור את עשר סיסמאות הגיבוי הללו במקום בטוח.

  5. לאחר שסיסמאות הגיבוי נשמרו היטב, פנו להקליד את ה־TOTP מהמחולל בתיבת האישור שבתחתית הדף, ואשרו את הפעלת האימות הדו־שלבי.

האימות הדו־שלבי יופעל מיד.

כניסה לחשבון עם אימות דו־שלבי[עריכת קוד מקור | עריכה]

הזנת ה־TOTP במסך ההתחברות

מעתה, בכל ניסיון כניסה לחשבון, תידרש הקלדה של ה־TOTP מתוך המחולל – וזאת בנוסף ולאחר הקלדת שם המשתמש והסיסמה.

שמירת הכניסה[עריכת קוד מקור | עריכה]

”לזכור שנכנסתי“ בממשק באנגלית

אם תבחרו בעת הכניסה לחשבון את האפשרות ”לזכור שנכנסתי“, לרוב לא תזדקקו להזין את ה־TOTP, במכשיר בו התחברתם.

פעולות כמו ניקוי מטמון הדפדפן או יציאה מהחשבון יבטלו את הזכירה הזו, ויגרמו לדרישה מחדש של הזנת ה־TOTP במכשיר.

בנוסף, למרות הפעלת הזכירה וללא ביטולה, ישנן פעולות חשבון רגישות, כגון שינוי דוא״ל, המחייבות כניסה מחדש לחשבון, כולל הזנת שם משתמש, סיסמה ו־TOTP.

גישת ממשק תכנות יישומים (API)[עריכת קוד מקור | עריכה]

2FA לא ניתן לשימוש ב־OAuth או בסיסמאות בוט – שיטות שמאפשרות התחברות בגישה לחשבון ללא צורך בהזדהות מלאה באמצעות שם משתמש וסיסמה, אלא באמצעות אמצעים אחרים.

בהתחברויות כאלו ישנה אפשרות להשתמש ב־2FA בכל זאת אך תוך אפשרות בשימוש רק בחלק מיכולות החשבון.

למשל, כלים כמו AWB אינם תומכים עדיין ב־2FA, אך עדיין ניתן להשתמש בעבורם בסיסמאות בוטים. למידע נוסף על אופן ההגדרה ניתן לקרוא את הדף Wikipedia:Using AWB with 2FA.

כיבוי האימות הדו־שלבי[עריכת קוד מקור | עריכה]

הזנת ה־TOTP במסך הסרת האימות הדו־שלבי

Stop hand.svg שימו לב! אם הפעלתם אימות דו־שלבי, הסרת הרשאת ”oathauth-enable“ לא תסיר את האימות הדו־שלבי. כדי להסירו יש לפעול על פי ההוראות שלהלן.

  1. לכו אל מיוחד:OATH או אל מיוחד:העדפות#mw-prefsection-personal. (אם הרשאת ”oathauth-enable“ הוסרה אצלכם, אתם עדיין יכולים להסיר את האימות הדו־שלבי בדף זה).
  2. בדף ניהול אימות דו־שלבי, תחת הכותרת שיטת האימות המופעלת, לחצו על כפתור הכיבוי ולאחר מכן הכניסו את הקוד אשר ניתן לכם על ידי מחולל ה־TOTP. (ניתן להזין במקום זאת גם את אחת מעשר סיסמאות הגיבוי).

בקשת ההרשאה[עריכת קוד מקור | עריכה]

בקשה לדוגמה

פנו לדף זה, והדביקו שם את קוד הוויקי הבא:

===2FA Tester for [[User:<שם המשתמש>|]] ===

{{sr-request
|status =
|domain = global
|user name = <שם המשתמש>
}}
<הצהרה על כך שקראתם את דף ההסבר ושהבנתם אותו>, thanks, –~~~~

קוד זה ייצור בקשה, בדומה לבקשה לדוגמה המוצגת משמאל. הדיילים לרוב ממלאים את הבקשה, אלא אם כן הם מוצאים סיבה למנוע זאת.

הערות שוליים[עריכת קוד מקור | עריכה]

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

ביאורים[עריכת קוד מקור | עריכה]

  1. ^ לכתבה מפורטת בנושא: הגר בוחבוט, כל מה שצריך לדעת על אימות דו-שלבי, באתר ynet, 25 באפריל 2019

סימוכין[עריכת קוד מקור | עריכה]