Ayuda:Autenticación en dos pasos

La implementación en Wikimedia de la autenticación en dos pasos (Two-factor authentication (2FA) en inglés) es una forma de fortalecer la seguridad de tu cuenta. Si activas la autenticación en dos pasos, tendrás que introducir, cada vez que inicies sesión, un código único de seis dígitos además de tu contraseña. Este código puede ser obtenido mediante una aplicación en tu teléfono inteligente u otro dispositivo de autenticación. Para iniciar sesión, necesitarás tu contraseña y disponer del dispositivo de identificación para generar el código de seis dígitos.

La autenticación en dos pasos en Wikimedia es momentáneamente experimental y opcional (con algunas excepciones). Para su inscripción requiere del permiso (oathauth-enable), actualmente en pruebas de producción con administradores (y usuarios con permisos de administración similares como editores de interfaz), burócratas, verificadores de usuarios, supresores, stewards, administradores del filtro de ediciones y el grupo global de probadores de OATH.

Todas las cuentas Wikitech LDAP (también conocida como cuenta de desarrollador) también son elegibles. Estas cuentas no forman parte de Single Unified Login.

Grupos de usuario a los que se les exige

• Grupos que requieren autenticación en dos pasos

• Tener acceso (oathauth-enable) (por defecto, disponible para administradores, burócratas, supresores, usuarios de control y otros grupos de usuarios privilegiados)
• Tener o instalar un algoritmo de contraseña de un solo uso basado en tiempo. Para la mayoría de los usuarios, esta será una aplicación para teléfono o tableta. Las aplicaciones comúnmente recomendadas incluyen:
  • De código abierto: FreeOTP (Android, iOS), andOTP (Android), Authenticator (iOS), Authenticator.cc (Chrome, Firefox & Edge), Passman (NextCloud), KeePassXC (Linux, macOS, Windows)
  • De código cerrado: Authy (Android, iOS, macOS, Windows), Google Authenticator (Android iOS)
  • Comparación general de muchas aplicaciones OTP comunes que podrían usarse como cliente TOTP para 2FA (Wikipedia en inglés)
  • También puede usar cualquier cliente de escritorio como OATH Toolkit (Linux, macOS via Homebrew), o WinAuth (Windows). Tenga en cuenta que si inicia sesión desde la computadora utilizada para generar estos códigos, este enfoque no protege su cuenta si un atacante obtiene acceso a su computadora.
  • Algunos administradores de contraseñas como 1Password, LastPass y KeePass también tienden a admitir o tienen complementos para admitir estas códigos. Esto tiene las mismas limitaciones que las anteriores, pero vale la pena analizarlo si ya usa uno para otras cosas.

    

• Ir a Special:OATH en el proyecto donde tiene uno de los derechos arriba mencionados (este enlace está disponible también desde sus preferencias). (Para la mayoría de los usuarios, esto no estará aquí en Meta-Wiki.)
• Special:OATH le presentará un código QR conteniendo el nombre de la cuenta de dos pasos y la clave secreta de dos pasos. Esto es necesario para emparejar su cliente con el servidor.
• Escanee el código QR con, o introduzca el nombre y clave de la cuenta de dos pasos en, su cliente de códigos.
• Ingrese el código de autenticación de su cliente de códigos en la pantalla OATH para completar el registro.

AVISO IMPORTANTE: También se le presentará una serie de 10 códigos de respaldo únicos. Almacene de forma segura una copia de estos códigos. Si pierde o tiene un problema con su cliente de códigos, no podrá volver a acceder a su cuenta a menos que tenga acceso a estos códigos.

• Introduzca su nombre de usuario y contraseña, y envíelo como antes.
• Introduzca un código de autenticación de un solo uso de seis dígitos proporcionado por el cliente de códigos. Nota: este código cambia cada treinta segundos aproximadamente.

Mantenerme conectado

Si elige esta opción al iniciar sesión, normalmente no necesitará ingresar un código de autenticación cuando use el mismo navegador. Las acciones como cerrar la sesión o borrar la memoria cookies del navegador requerirán un código en su próximo inicio de sesión.

Es posible que algunas acciones sensibles a la seguridad, como cambiar su dirección de correo electrónico o contraseña, requieran que vuelva a autenticarse con un código, incluso si eligió la opción de mantenerse conectado.

Acceso a la API

La autenticación de dos pasos no es utilizada cuando se usa OAuth o las contraseñas de bot para iniciar sesión a través de la API.

Puede usar contraseñas de OAuth o bot para restringir las sesiones de la API a acciones específicas, a la vez que utiliza la autenticación de dos factores para proteger su acceso completo. Tenga en cuenta que las contraseñas OAuth y bot no se pueden utilizar para iniciar sesión interactivamente en el sitio web, solo en la API.

Por ejemplo, a los que les gusta las herramientas como AutoWikiBrowser (AWB) aún no admiten la autenticación de dos pasos, pero se pueden usar contraseñas de bot.

Si activaste la autenticación de dos pasos, retirar el permiso que en su día te permitió activarlo NO RETIRARÁ LA AUTENTICACIÓN EN DOS PASOS de tu cuenta. Para ello debes seguir el siguiente procedimiento.

• Vaya a Special:OATH o a preferencias. Si ya no está en grupos a los que se le permite inscribirse, aún puede cancelar su inscripción a través de Special:OATH.
• En la página inhabilitar la autenticación de dos factores, utilice su dispositivo de autenticación para generar un código y finalizar el proceso.

Al habilitar la autenticación de dos factores se le proporcionarán una lista de diez códigos de un solo uso. Imprima y guarde en un lugar seguro dichos códigos dado que los necesitará en caso de que pierda acceso al dispositivo de generación de códigos 2FA. Es importante insistir en que cada uno de esos códigos solo se podrá usar una vez. Tras usar uno, puede tacharlo. Para generar nuevos códigos deberá deshabilitar y volver a habilitar la autenticación de dos factores.

Deshabilitar la autenticación en dos pasos sin el dispositivo identificación

La desinscripción sin un dispositivo de autenticación puede requerir dos códigos de respaldo: uno para iniciar sesión y otro para cancelar la inscripción. Si alguna vez necesita usar cualquiera de sus códigos de respaldo, es aconsejable desinscribirse y volver a inscribirse para regenerar un nuevo conjunto de códigos tan pronto como sea posible.

Si tienes un dispositivo de autenticación en dos pasos que ha dejado de generar códigos correctos por favor verifica que el reloj del mismo esté debidamente sincronizado y/o sea razonablemente exacto.

Necesitará acceso a los códigos de respaldo que le proporcionaron al inscribirse para desinscribirse de la autenticación de dos factores. Se requerirá que utilice hasta dos códigos de respaldo para lograr esto:

• Debe iniciar sesión. Si aún no ha iniciado sesión, utilizará un código de respaldo.
• Visita Special:OATH y usa un código de respaldo diferente para cancelar la autenticación de dos factores.

Si te has quedado sin códigos de respaldo puedes contactar con Trust and Safety por correo electrónico a la dirección cawikimedia.org para solicitar que te retiren la autenticación en dos pasos de tu cuenta (habrás de enviar el correo electrónico desde la dirección de correo que tengas registrada en tu cuenta de usuario). Si puedes, crea también un tique en Phabricator si todavía tienes acceso. Ten en cuenta que la remoción de la autenticación de dos pasos por el personal de la Fundación no siempre se autoriza.

WebAuthn has a known issue that you must make future logons on the same project that you initiate it from (tracking task).