Hilfe:Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) ermöglicht seit 2016 eine bessere Absicherung eines Benutzerkontos, indem zusätzlich zu dem Passwort beim Anmelden ein weiterer Faktor als zusätzliche Sicherheitsstufe nötig ist.

Als zweiter Faktor stehen zwei unterschiedlichen Methoden zur Verfügung, die auch beide parallel vom Benutzer in seinen Kontoeinstellungen konfiguriert werden können. Beim Anmelden nach der Passworteingabe wird dann ein Verfahren als zweiter Faktor gewählt. Als wählbare Methoden für die Zwei-Faktor-Authentifizierung stehen zur Verfügung:

1. Time-based one-time password (TOTP) nach RFC 6238, das ein zeitlich eng befristetes Einmalkennwort (OTP) aus sechs Ziffern darstellt. Die vom Codegenerator, üblicherweise ist dies eine Authentifizierungs-App, erzeugten sechs Ziffern sind mit der Uhrzeit verknüpft und für 30 Sekunden gültig, danach ändert sich die Ziffernfolge.
2. Ein Sicherheitsschlüssel (Security-Token), der im Rahmen der Anmeldung mit dem Anmeldegerät (PC, Mobiltelefon) verbunden wird. Der Security-Token muss dazu die Verfahren der FIDO-Allianz, wie FIDO2 (CTAP2) oder U2F (CTAP1), unterstützen. Als Verbindungsschnittstelle mit dem Security-Token ist neben USB, meistens auf Desktop-PC und Laptops, auch die Near Field Communication (NFC) üblich. Letztere wird vor allem bei Mobilgeräten verwendet.

Aus rechtlichen und sicherheitstechnischen Gründen hat die Wikimedia Foundation beschlossen, für bestimmte Benutzergruppen eine 2FA zu verlangen. Dies trifft beispielsweise auf die lokale Benutzergruppe der Benutzeroberflächenadministratoren zu.^[1] Eine Übersicht aller betroffenen Gruppen findet sich im Meta-Wiki. Für alle anderen Benutzer ist die Zwei-Faktor-Authentifizierung optional.

Wohl am Wochenende 11./12. November 2016 gelang ein unbefugter Wiki-Zugang auf das Benutzerkonto von Jimbo Wales und ggf. andere Benutzer mit erweiterten Rechten.^[2]

Im März 2025 sperrte die Wikimedia Foundation tausende Konten − sie waren infolge eines externen Datenlecks und Mehrfachnutzung von Passwörtern massenhaft kompromitiert worden.^[3] In der Folge wurde Email-Auth für Konten mit hinterlegter Mailadresse verpflichtend aktiviert. Das galt nicht, sofern sie bereits 2FA aktiviert hatten, da diese als sicherer angesehen wird.

Bis 2025 bestand die Möglichkeit der Aktivierung nur für Benutzer mit erweiterten Rechten (wie beispielsweise Administratoren) oder auf Antrag für interessierte Benutzer mit nicht erweiterten Rechten, aber mit ausreichender Erfahrung. Letztere hatten ab Mai 2018 die Option, auf Ansuchen in die globale Gruppe oathauth-tester aufgenommen zu werden, um für ihr Konto die Zwei-Faktor-Authentifizierung aktivieren zu können.^[4]

Für Benutzer ohne erweiterte Rechte besteht seit Anfang Dezember 2025 die Option, für ihr Konto die Zwei-Faktor-Authentifizierung zu aktivieren. Um den Aufwand durch Fehlbedienungen zu minimieren, ist es dazu empfehlenswert, die aktuelle Anleitung im Meta-Wiki durchzulesen, insbesondere den Teil mit den Notfallcodes und deren Umgang und die Methoden, wie die Zwei-Faktor-Authentifizierung wieder deaktiviert werden kann.

Um die Zwei-Faktor-Authentifizierung einzurichten, muss zunächst ein aktives Konto mit der Möglichkeit der Anmeldung über ein Passwort bestehen. Es kann eine oder beide Methoden (TOTP oder FIDO2) für die Zwei-Faktor-Authentifizierung eingerichtet werden und es können beliebig viele 2FA-Methoden TOTPs (Authentifizierungs-Apps) oder FIDO2 (Sicherheitsschlüssel) zu einem Konto hinzugefügt werden. Bei der Anmeldung erscheint nach Eingabe von Benutzername und Passwort nebenstehende Eingabemaske, wo das TOTP-Token eingegeben werden kann oder alternativ auf eine der anderen Methoden umgeschalten werden kann. Es wird empfohlen, alle zur Verfügung stehenden Authentifizierungsoptionen zu nutzen, um bei Ausfall und zur Wiederherstellung in der Auswahl darauf zurückgreifen zu können.

Bevor mit der Aktivierung begonnen werden kann, muss je nach Verfahren eine aktive Authentifizierungs-App (für TOTP) installiert und betriebsbereit und/oder ein passender FIDO2/U2F-kompatibler Sicherheitsschlüssel physisch zur Verfügung stehen. Es ist empfohlen, dass sowohl die installierte Authentifizierungs-App als auch der physische Zugriff auf dem Sicherheitsschlüssel nur für eine Person möglich ist, also beispielsweise die Nutzung eines Sicherheitsschlüssels nicht zwischen mehreren Personen aufgeteilt wird.

Im folgenden Kapitel ist der Ablauf zur Aktivierung getrennt nach den 2FA-Methoden angeführt.

Zunächst muss eine oder mehrere Authentifizierungs-App, die TOTP unterstützen, ausgewählt und installiert werden. Neben Authentifizierungs-App stehen auch verschiedene Kennwortverwaltungen (Passwortmanager) zur Verfügung, die neben Mobilgeräten auch auf Desktop-PCs oder Laptops verwendet werden können. Die Authentifizierungs-App wird im Rahmen des Registrierungsablaufes mit dem vom Wikimedia-Server zufällig erstellten Geheimnis K konfiguriert. Dieses Geheimnis K, das unbedingt geheim gehalten werden sollte, kann in beliebig vielen Authentifizierungs-Apps installiert werden, zusätzlich ebenso an einem sicheren Platz wie in einem PasswortmManager für eine spätere Wiederverwendung abgelegt werden.

Im Folgenden sind beispielhaft und nicht vollständig diverse kompatible Authentifizierungs-Apps mit TOTP-Unterstützung angeführt:

• Aegis Open Source OTP-Client, bei dem das Geheimnis K optional verschlüsselt auf dem Speicher des Smartphone gespeichert werden kann.
• Google Authenticator − Zu beachten ist, dass bei dieser App das Geheimnis K unverschlüsselt am Smartphone gespeichert wird.
• KeePassDX − zu KeePassCX kompatibler Passwortmanager mit TOTP-Unterstützung, das Geheimnis K wird verschlüsselt gespeichert.

• Authenticator − Open Source OTP-Client.
• Google Authenticator − Zu beachten ist, dass bei dieser App das Geheimnis K unverschlüsselt im Smartphone gespeichert wird.
• FreeOTP − Auch bei dieser Anwendung wird das Geheimnis K unverschlüsselt gespeichert.

• OTPClient – Ein auf GTK basierender OTP-Client, der einfach zu bedienen ist. Das Geheimnis K verschlüsselt gespeichert.
• OATH Toolkit – Für die Anwendung auf vertrauenswürdigen PCs (beispielsweise am eigenen Laptop) geeignet. Das OATH Toolkit ist sehr leistungsfähig und erlaubt beispielsweise auch die Erzeugung eines Einmalschlüssels für einen beliebigen Zeitpunkt in der Zukunft oder die Erzeugung einer Folge von Einmalcodes über einen längeren Zeitraum. Auch lässt sich die Kommandozeilenanwendung leicht automatisieren: So kann beispielsweise das berechnete Einmalkennwort – statt angezeigt zu werden – gleich in die Zwischenablage kopiert werden und braucht dann nur noch im entsprechenden Browserfenster eingefügt zu werden.

• Für den Passwortmanager KeePass stehen ab Version 2.2 Plugins zur Verfügung, die OATH-TOTP als Generatorfunktion anbieten. Varianten wie KeePassXC bieten in der Grundkonfiguration ohne Plugin die TOTP-Generatorfunktion. Das Geheimnis K wird dabei wie andere reguläre Einträge als zusätzlicher Eintrag (Attribut) in der verschlüsselten Datenbank vorgehalten.

1. Lade eine Authentifizierung-App oder eine passende Anwendung herunter, installiere sie und mache dich mit der Anwendung vertraut.
2. Aktiviere in deinem Konto unter Spezial:Einstellungen die Option Zwei-Faktor-Authentifizierung. Eventuell musst Du dich bei diesem Schritt noch einmal mit deinem Benutzernamen und Passwort anmelden, da der komplette Ablauf projektübergreifend auf einem dezidierten Server abläuft (auth.wikimedia.org).
3. Wähle dann die Option Füge eine Authentifizierung-App hinzu und folge dann den einzelnen Schritten.
   • Bei Mobilgeräten mit Kamera besteht die einfache Möglichkeit, den angezeigten QR-Code für das Geheimnis K zu scannen.
   • Zusätzlich zum QR-Code wird das Geheimnis K als Base32 codierte Zeichenfolge angezeigt, beispielsweise YXE5 4JNI LN7P NMGS 4Q55 IDAA C62I AV1B 674L 2ST2 TE. Dieser String kann manuell eingegeben oder zur Sicherungszwecken an sicheren Platz (z. B. im Passwortmanager) gespeichert werden.
   • Es ist empfehlenswert, das Geheimnis K mit Copy&Paste in eine lokale Datei als Datensicherung zu übertragen und sicher zu verwahren.
   • Alternativ können mehrere Geheimnisse K für verschiedene Geräte generiert werden.
4. Kopiere die Wiederherstellungscodes für Notfälle in einem sicheren Bereich (z. B. im Passwortmanager als Textfeld mit ablegen).
5. Bevor TOTP serverseitig für dein Konto aktiviert wird, muss mit der installierten Authentifizierung-App ein gültiger Code erstellt und unter Verifizierung eingegeben und bestätigt werden.
   • Erst bei gültigen Einmalcode wird damit die Zwei-Faktor-Authentifizierung für dein Konto aktiv geschaltet.
   • Dadurch ist sichergestellt, dass du die Zwei-Faktor-Authentifizierung nur aktivieren kannst, wenn du tatsächlich eine passende Authentifizierung-App besitzt und diese korrekt funktioniert und gültige TOTP-Codes produziert.

• Es können beliebig viele weitere Geräte und Programme zur Berechnung des TOTP genutzt werden, indem über Spezial:AccountSecurity mehrere Geheimnisse K generiert werden. Das ist sinnvoll, um Problemen bei Verlust oder Defekt des Mobilgerätes vorzubeugen. Vor Oktober 2025 war nur ein einziges Geheimnis generierbar, das dann (falls gewünscht) auf mehreren Geräten gleichzeitig genutzt werden musste, ab diesem Datum können mehrere unterschiedliche Geheimnisse K für ein Konto generiert werden. Dies erleichtert bei nur einmaliger Verwendung auf einem Gerät bei Verlust (Diebstahl) die Sperre (Entfernung) genau dieses einen Geheimnis K.
• Die absolute Uhrzeit auf dem Gerät wie einem Mobiltelefon oder Laptop, mit dem das Einmalpasswort erzeugt wird, muss bis auf wenige Sekunden genau der Uhrzeit am Server entsprechen. Die Gültigkeitsdauer beträgt 30 Sekunden, je nach konkreter Implementierung am Server wird auch noch das TOTP aus dem Zeitfenster unmittelbar vor dem aktuellen Zeitfenster akzeptiert, womit sich eine Spanne von weniger als 1 Minute ergibt. Liegt eine größere Abweichung der beiden Uhrzeiten zwischen dem Gerät des Benutzers und dem Server vor, ist ein Login mittels TOTP nicht mehr möglich.
• Die Uhrzeit bei der Berechnung ist UTC und somit von Zeitzonen, Zeitumstellungen wie Sommerzeit unabhängig. Bei fehlerhaft konfigurierten Geräten bzw. Einstellungen zur Uhrzeit kann es bei TOTP zu Problemen kommen.
• Beachte, dass jeder, der in den Besitz einer Kopie eines gültigen Geheimnis K gelangt, in Folge gültige Einmalpasswörter berechnen kann. Ein bereits generiertes Geheimnis K wird nur einmalig bei der TOTP-Anmeldung vom Server erzeugt und ist danach unveränderlich, kann aber wieder gelöscht werden. Weitere, neue Geheimnisse können jederzeit erzeugt werden.
• Falls du einen Bot benutzt, der OAuth nicht unterstützt oder AutoWikiBrowser verwendest, so kannst du trotz 2FA für deinen Bot ein eigenes Passwort unter Spezial:BotPasswords vergeben.

Für die Anwendung müssen ein oder mehrere Sicherheitsschlüssel, die FIDO2/U2F unterstützen, zur Verfügung stehen und JavaScript im Webbrowser aktiviert sein. Es werden an den Sicherheitsschlüssel keine besonderen Vorgaben wie eine FIDO-Zertifizierungsstufe gestellt. Beispiele für am Markt verfügbare und kompatible Sicherheitsschlüssel sind die verschiedenen Modelle von Yubikey, Nitrokey, Titan Security Key oder der GoTrust Idem Key. Der Vorteil ist, dass bei diesem Verfahren keine Authentifizierungs-App installiert und verwaltet werden muss, dafür muss gegebenenfalls ein Sicherheitsschlüssel angeschafft werden. Die Preise für einfache FIDO2-Token bewegen sich im Bereich ab 30 Euro. Der FIDO2-Sicherheitschlüssel kann auch für andere Zugänge verwendet werden und muss nicht exklusiv für Wikimedia eingesetzt werden.

1. Beschaffe einen Sicherheitsschlüssel, der U2F/FIDO2 unterstützt und nur von dir benutzt wird.
2. Aktiviere in deinem Konto unter Spezial:Einstellungen die Option Zwei-Faktor-Authentifizierung. Eventuell musst du dich bei diesem Schritt noch einmal mit deinem Benutzernamen und Passwort anmelden, da der komplette Ablauf projektübergreifend auf einem dezidierten Server abläuft (auth.wikimedia.org).
3. Wähle dann die Option Einen Sicherheitsschlüssel hinzufügen.
4. Kopiere die Wiederherstellungscodes für Notfälle in einem sicheren Bereich (z. B. im Passwortmanager als Textfeld mit ablegen).
5. Vergib für den Sicherheitsschlüssel einen für dich erkennbaren Bezeichner. Dies verhindert bei mehreren Sicherheitsschlüsseln Verwechslungen.
6. Verbinde den Sicherheitsschlüssel mit dem Anmelderechner und bestätige Schlüssel hinzufügen.
7. In Folge musst du am Sicherheitsschlüssel eine Aktion setzen, im Regelfall ist das ein Tastendruck am Sicherheitsschlüssel um so die Registrierung zu finalisieren.
   • Je nach Konfiguration des Sicherheitsschlüssels kann es bei diesem finalen Schritt notwendig sein, zusätzlich die am FIDO2-Token konfigurierte PIN einzugeben oder bei biometrischen Schlüsseln die Freigabe mittels gültigen Fingerabdruck zu bestätigen..

• Es können beliebig viele Sicherheitsschlüsseln zu deinem Konto hinzugefügt werden. Es ist zu empfehlen, mehr als einen Sicherheitsschlüssel zu registieren um bei einem Defekt oder Verlust einen Zugang mit dem zweiten Schlüssel zu haben.
• Die Anmeldung erfolgt im Rahmen von FIDO2 mit sogenannten non-discoverable credential, was auch den Einsatz von älteren Sicherheitschlüsseln, die nur das U2F-Protokoll (CTAP1) unterstützen, erlaubt. Der Einsatz von discoverable credentials unter FIDO2, im Marketing-Jargon werden diese auch als Passkey bezeichnet, erfolgt nicht.
• Ist am FIDO2-Sicherheitstoken eine PIN konfiguriert, muss diese PIN bei der Anmeldung angegeben werden. Eine PIN am Token kann im Rahmen von FIDO2 und unabhängig von der Verwendung eingestellt werden und verhindert bei Verlust oder Diebstahl das fremde Personen den Sicherheitsschlüssel zur Anmeldung am Konto verwenden können. Bei älteren Sicherheitstoken, die nur U2F unterstützen, besteht die Option zur PIN nicht.
• Sollte der FIDO2-Sicherheitstoken zurückgesetzt werden (Reset) – dies ist beispielsweise dann notwendig wenn 8 Mal eine falsche PIN eingegeben wurde – ist damit auch der Verlust aller Zugänge mit diesem Schlüssel verbunden. Der zurückgesetzte Schlüssel kann nach der Rücksetzung problemlos neu im Konto hinzugefügt werden, die alte Registrierung kann entfernt werden.
• Bei Verwendung der mobilen Wikimedia-App auf einem Smartphone ist die Verwendung von FIDO2-Sicherheitsschlüssel nicht möglich. In diesem Fall kann am Konto nur TOTP als zweiter Faktor verwendet werden.

Wiederherstellungscodes dienen als Zugangsmethode im Notfall, wenn der Zugang über 2FA, aus welchen Gründen auch immer, nicht mehr möglich ist. Diese bei Einrichtung der 2FA vom Server erstellten Wiederherstellungscodes sollten sicher gespeichert werden, um den Zugang zum Konto nicht zu verlieren.

Der Wiederherstellungscode erlaubt einen Zugang ohne Authentifizierungs-App bzw. ohne Sicherheitsschlüssel. Ein Wiederherstellungscode besteht aus 16 zufälligen Zeichen (Buchstaben und Ziffern) und kann genau einmal verwendet werden. Aus diesem Grund werden mehrere Wiederherstellungscodes bei Aktivierung der Zwei-Faktor-Authentifizierung erstellt, ein Wiederherstellungscode pro Zeile.

Sollte ein oder mehrere Wiederherstellungscodes aufgebraucht werden, ist es empfehlenswert, sich ein neues Set von Wiederherstellungscodes erzeugen zu lassen. Dies kann in den Einstellungen bei der Verwaltung der Zwei-Faktor-Authentifizierung vorgenommen werden. Noch gültige Wiederherstellungscodes aus der alten Liste werden dabei gelöscht.

• Kopiere die Wiederherstellungscodes für Notfälle in eine entsprechende Liste und verwahre diese an einen sicheren Ort. Ein Wiederherstellungscode besteht aus jeweils 16 zufälligen Zeichen (Buchstaben und Ziffern) und kann nur genau einmal verwendet werden. Nach Benutzung verliert er seine Gültigkeit.
• Ggf. auch ausdrucken und den Ausdruck gut gesichert aufbewahren.
• Anders als die sechsstelligen Zahlen (Einmalpasswörter, die nur kurzzeitig gültig sind) bleiben die nur einmal verwendbaren Wiederherstellungscodes für Notfälle bei Nichtverwendung unbegrenzt gültig. Ein Code verliert seine Gültigkeit durch die einmalige Verwendung.
• Bei Verwendung eines Wiederherstellungscode streiche diesen aus der Liste.
• Sollte die Anmeldung mittels Zwei-Faktor-Authentifizierung nicht mehr möglich sein, benötigst du zwei Wiederherstellungscodes, um die Zwei-Faktor-Authentifizierung für dein Konto zu deaktivieren: Einen zur initialen Anmeldung am Wiki-System und einen Wiederherstellungscode zur nachfolgenden Anmeldung am Authentifizierungs-Server. Von dort aus kann dann die Zwei-Faktor-Authentifizierung deaktiviert werden.

Auf Spezial:AccountSecurity kann 2FA auch wieder deaktiviert werden. Es müssen dazu alle aktiven Zwei-Faktor-Authentifizierungen einzeln entfernt werden, mit der Entfernung der letzten Zwei-Faktor-Authentifizierung werden auch die Wiederherstellungscodes entfernt und die Anmeldung ist in Folge nur auf Benutzername und Passwort reduziert.

Das Verfahren wirkt auf den SUL3-Account. In welchem Projekt man sich anmeldet, ist egal, auch ob man im anderen Projekt Administrator wäre. Es gibt nur ein Passwort und ein 2FA und ein SUL-Konto für alle Wikis der WMF.

Wer ohne Angst sich selbst von seinem Benutzerkonto auszusperren die verschiedenen Optionen der Zwei-Faktor-Authentifizierung kennen lernen und ausprobieren will, kann dies am Beta-Cluster tun. Der Beta-Cluster verwendet neben der aktuellen Mediawiki-Software auch die jeweiligen projektspezifischen Einstellungen der Produktivsysteme, ist aber von den Benutzerkonten und dem Anmeldesystem strikt getrennt.

1. ↑ Information der WMF auf meta:Interface administrators
2. ↑ Wikipedia-Kurier: Angriff auf Passwörter von WMF-Funktionären. 12. November 2016.
3. ↑ Wikipedia-Kurier: WMF sperrt 12 tausend Benutzer. 27./28. März 2025.
4. ↑ Siehe dazu phab:T193769