Aiuto:Autenticazione a due fattori
L'autenticazione a due fattori è una modalità di accesso che consente di migliorare la sicurezza del proprio account. In fase di login, oltre alla password usuale viene richiesta un'autenticazione aggiuntiva, tipicamente un codice monouso (OTP) fornito da un altro dispositivo.
Attenzione: L'autenticazione a due fattori è un modo per fare il login nel sito con un sistema un po' più complesso dell'usuale ma con lo stesso risultato: finché non si esce dal sito, oppure non trascorre un anno, dopo il quale si viene scollegati automaticamente, non si è obbligati alla complicazione aggiuntiva richiesta. Il fine della autenticazione a due fattori è infatti di impedire ad altri di accedere. Se si lavora sempre dallo stesso dispositivo ed è sicuro, una volta entrati, non cambia nulla rispetto all'usuale routine e si può rimanere collegati. Si tenga però presente che, non disconnettendosi mai per un anno, ci si può dimenticare della cosa e, per esempio, si può cancellare involontariamente l'applicazione dal telefonino o dimenticare dove si sono salvati i codici di recupero, quindi occorre organizzarsi opportunamente.
Sono disponibili due metodi di autenticazione: EmailAuth e OATHAuth (che comprende TOTP e WebAuthn). Nel caso in cui venga attivata l'autenticazione tramite TOTP o WebAuthn, che garantisce una maggiore sicurezza, essa prevarrà su EmailAuth.
Abilitazione
[modifica | modifica wikitesto]EmailAuth
[modifica | modifica wikitesto]Gli utenti con un indirizzo e-mail collegato al proprio account, che non dispongono di un altro metodo di autenticazione a due fattori attivo (TOTP o WebAuthn), sono automaticamente abilitati dal software all'uso di EmailAuth. Per aggiungere o modificare un indirizzo di posta elettronica collegato al proprio account è sufficiente andare su Speciale:CambiaEmail e inserire il proprio indirizzo di posta elettronica seguendo la rapida procedura indicata dal sistema.
OATHAuth (TOTP o WebAuthn)
[modifica | modifica wikitesto]Gli utenti che appartengono a uno dei seguenti gruppi hanno automaticamente accesso all'autenticazione a due fattori tramite TOTP o WebAuthn: Amministratori, Amministratori dell'interfaccia, Burocrati, Importatori, Importatori transwiki, Oversighter, Bot con diritti di amministratore, Check user e Oathauth-tester.
Se un utente non fa parte di uno di questi gruppi, può richiedere accesso all'autenticazione a due fattori tramite TOTP o WebAuth facendone richiesta su meta qui (esempi di richieste).
Verifica dell'abilitazione
[modifica | modifica wikitesto]Per verificare l'abilitazione di EmailAuth basta andare, dopo aver fatto il login, su Speciale:Preferenze, scorrere in basso fino alla sezione "Opzioni email", e verificare che risulti correttamente inserito il proprio indirizzo di posta elettronica.
Per verificare se il proprio utente è abilitato all'uso dell'autenticazione a due fattori tramite TOTP o WebAuthn ci si può recare in Speciale:Preferenze oppure direttamente in Speciale:OATH. Se nelle preferenze non è presente alcuna menzione ad '"Autenticazione a due fattori", o la pagina speciale restituisce "Permessi non sufficienti", l'utenza non è ancora abilitata alla funzione, ma può farne richiesta presso m:Steward requests/Global permissions#Requests for 2 Factor Auth tester permissions.
EmailAuth
[modifica | modifica wikitesto]L'autenticazione tramite e-mail è il livello base di autenticazione a 2 fattori del software MediaWiki, che fornisce una maggiore sicurezza in fase di accesso, pur non garantendone il livello raggiunto con l'autenticazione a due fattori mediante TOTP o WebAuthn. Una volta collegato correttamente l'account di posta elettronica al proprio account Wikimedia come indicato sopra, in caso di accesso riuscito al proprio account con username e password da un nuovo dispositivo o da un diverso indirizzo IP, il sistema potrebbe riconoscere tale azione come sospetta e quindi richiederà l'inserimento di un codice usa e getta inviato all'indirizzo di posta elettronica collegato per poter completare il login.
TOTP (one-time token)
[modifica | modifica wikitesto]Funzionamento e requisiti
[modifica | modifica wikitesto]Per loggarsi, oltre alla password usuale, bisogna inserire un codice, ogni volta diverso, generato da un software apposito. In pratica si apre il software sul cellulare che genera automaticamente il codice OTP a sei numeri, si clicca su "entra", si inserisce nome utente, password, OTP, e si entra. Per utilizzarla serve un dispositivo, cellulare dove installare il software che generi il codice OTP e, importantissimo, un dispositivo di backup: pc, cellulare, chiavetta USB, scheda di memoria, foglio di carta, ecc, ecc., diverso dal precedente, dove salvare i codici di recupero univoci generati all'atto della configurazione che servono a non perdere anche l'account, se si perde o si rompe il cellulare.
Configurazione
[modifica | modifica wikitesto]
- Installare sul cellulare il software per l'autenticazione:
- se usate Android sono consigliati o Microsoft authenticator o Google Authenticator
- se usate iOS sono consigliati o Microsoft authenticator o Authenticator (open source);
- in ogni caso potete scegliere una qualsiasi applicazione TOTP compatibile.
- Abilitare l'autenticazione a due fattori (si consiglia di seguire quest'ordine):
- Andare in Speciale:Preferenze e cliccare su Gestisci accanto ad "Autenticazione a due fattori" oppure andare in Special:Manage_Two-factor_authentication;
- Cliccare su Attiva accanto a "TOTP (token monouso)";
- Per sicurezza sarà richieste di effettuare l'accesso, immettere nome utente e password;
A questo punto si aprirà la pagina per l’attivazione dell’autenticazione a due fattori, in quella pagina i punti sono numerati. Si consiglia peró di seguire le seguenti istruzioni:
- Al punto 1 viene richiesto di installare sul cellulare l'app otp. Se non si é fatto, farlo adesso.
- Saltare per adesso il punto 2;
- Copiare sul pc i codici di recupero che trovate al punto 3;
- Nell'app sul cellulare attivare la lettura del codice QR, per farlo seguire le istruzioni dell'app, sostanzialmente bisogna premere in genere "+" oppure "aggiungi un nuovo token", perché quello è lo scopo dell'operazione;
- Inquadrare il codice QR quadrato al punto 2, allontanandosi o avvicinandosi lentamente finché non è a fuoco;
- Se tutto va bene, come in genere accade, verrà generato un codice a 6 cifre simile a quello da usare quando si accederà d'ora in poi;
- Inserire il codice a sei cifre al punto 4;
- Siete abilitati. Complimenti! :) ma non rilassatevi;
- Non è finita :) ricordate di conservare i codici di recupero del punto 3 in un luogo sicuro, diverso dal cellulare dove è installata l’applicazione, magari stampandoli.
Disattivazione
[modifica | modifica wikitesto]Attenzione: Per disattivare il TOTP è necessario come passo finale inserire un token generato dal cellulare, quindi prima completare la procedura e, solo dopo, disinstallare l'applicazione.
EmailAuth può essere disattivata semplicemente andando su Speciale:CambiaEmail e cliccando su "Modifica email" lasciando il campo "Nuovo indirizzo email:" vuoto.
Web Authentication (WebAuthn)
[modifica | modifica wikitesto]WebAuthn è attualmente in beta e non è consigliata.
Perdita dei token e impossibilità di fare il login
[modifica | modifica wikitesto]In caso di impossibilità di fare il login, per perdita del dispositivo utilizzato, dei token di riserva, o per qualsiasi altro motivo tecnico, è possibile contattare il team Trust&Safety di WMF all'indirizzo mail ca@wikimedia.org
per tentare di recuperare l'account (molto probabilmente la risposta sarà in inglese). Se il proprio account è collegato a un indirizzo di posta elettronica è preferibile contattare WMF tramite quell'indirizzo, in modo che possa essere garantita la paternità dell'account. Gli amministratori di Wikipedia non sono in grado di vedere gli indirizzi mail associati a un account, e solo WMF può recuperare un account compromesso.