Wikimedia Security Team/Two-factor Authentication for CentralAuth wikis/fr

En l'ère des fuites massives de données, des campagnes de phishing réussies, et des plus de mots de passe que vous pouvez vous rappeler, l'authentification à deux facteurs vous permet de vous authentifier sur un wiki à la fois avec un mot de passe que vous connaissez, et en prouvant que vous avez accès à un long secret aléatoire typiquement stocké sur un appareil vous appartenant.



Activation de la double authentification
Pour s'inscrire pour la double authentification, allez dans vos préférences après vous être connecté sur un wiki CentralAuth, et cliquez sur "Autoriser l'authentification à deux facteurs" (ou allez directement sur Special:OATH), et suivez les instructions. Vous pouvez soit scanner le QR code, ou manuellement entrer le secret partagé dans votre appareil second facteur. Vous pouvez utiliser FreeOTP (Android/iOS), Google Authenticator (Android/iOS), andOTP (Android), Authentificateur (extension chrome), Authentificateur (extension Firefox), Authentificateur (extension Edge), ou l'utilitaire de ligne de commande OATH toolkit pour Debian, openSUSE, et d'autres plateformes.



Désactivation de la double authentification
Si vous avez besoin de désactiver l'authentification double (et possédez toujours votre appareil faisant office de second facteur), vous pouvez aller sur Special:OATH quand vous le voulez, entrer le code actuel, et elle sera retirée de votre compte.



FAQ

 * Ceci deviendra-t-il obligatoire ?
 * Two-factor authentication is required for interface administrators, stewards, and a few similarly privileged roles. It's possible that we will require two-factor authentication for other accounts with access to sensitive information in the future, but we do not have concrete plans to do so at this time.


 * What do I do if I lose my phone/token/secret?
 * A user with shell access can remove your account from the two-factor configuration, which will allow you to log in and re-enable two-factor authentication with a new device. The person doing this work will need to verify your identity, preferably by signing your request with a PGP signature that the user can verify, revealing a committed identity, or verifying the request through another non-email source (most users can reset their wiki password via email, so we want to ensure a malicious person with access to your email account cannot get your second authentication factor reset also).


 * What protocol is used for this two-factor authentication?
 * We implement the OATH protocol, a specific form of Time-based One-time Password (TOTP).