Wikimedia Security Team/Two-factor Authentication for CentralAuth wikis/fr

En l'ère des fuites massives de données, des campagnes de phishing réussies, et des plus de mots de passe que vous pouvez vous rappeler, l'authentification à deux facteurs vous permet de vous authentifier sur un wiki à la fois avec un mot de passe que vous connaissez, et en prouvant que vous avez accès à un long secret aléatoire typiquement stocké sur un appareil vous appartenant.



Activation de la double authentification
Pour s'inscrire pour la double authentification, allez dans vos préférences après vous être connecté sur un wiki CentralAuth, et cliquez sur "Autoriser l'authentification à deux facteurs" (ou allez directement sur Special:OATH), et suivez les instructions. Vous pouvez soit scanner le QR code, ou manuellement entrer le secret partagé dans votre appareil second facteur. Vous pouvez utiliser FreeOTP (Android/iOS), Google Authenticator (Android/iOS), andOTP (Android), Authentificateur (extension chrome), Authentificateur (extension Firefox), Authentificateur (extension Edge), ou l'utilitaire de ligne de commande OATH toolkit pour Debian, openSUSE, et d'autres plateformes.



Désactivation de la double authentification
Si vous avez besoin de désactiver l'authentification double (et possédez toujours votre appareil faisant office de second facteur), vous pouvez aller sur Special:OATH quand vous le voulez, entrer le code actuel, et elle sera retirée de votre compte.



FAQ

 * Ceci deviendra-t-il obligatoire ?
 * L'authentification à deux facteurs est nécessaire pour les administrateurs, intendants et autres responsables privilégiés. Il est possible que d'autres comptes avec l'accès à des informations sensibles doivent aussi l'utiliser dans le futur, mais ce n'est pas prévu pour l'instant.


 * Que faire si je perds mon téléphone/jeton/secret?
 * Un utilisateur avec l'accès shell peut retirer la double authentification de votre compte, ci qui vous permettra de vous connecter et de la réactiver avec un autre appareil. La personne qui fera cela devra d'abord vérifier votre identité, si possible en signant votre requÊte avec une signature PGP que l'utilisateur peut vérifier, en révélant une identité, ou en vérifiant la requête à travers une autre soucre non-email (la plupart des utilisateurs peuvent réinitialiser leur mot de passe par email, et nous voulons nous assurer que une personne mal intentionnée ayant accès à votre email ne peut pas réinitialiser votre second facteur d'authentification aussi).


 * Quel protocole est utilisé pour cette double authentification ?
 * Nous implémentons le protocole OATH, une forme spécifique de Mot de passe à usage unique basé sur le temps (Time-based One-time Password en anlais, ou TOTP).



Voir aussi

 * Meta:Help:Two-factor authentication
 * Meta:Help:Two-factor authentication