Wie aktiviere ich 2FA und Hardwareschlüssel auf Kraken für maximale Sicherheit? (Kontosicherheit)

Die 2FA-Architektur von Kraken verstehen

1. Kraken erzwingt die obligatorische Zwei-Faktor-Authentifizierung für alle Kontoaktionen, die über die einfache Anzeige hinausgehen. Die Plattform unterstützt TOTP-basierte Authentifikatoren, SMS und E-Mail als sekundäre Faktoren – für den Produktionseinsatz wird jedoch nur TOTP empfohlen.

2. Im Gegensatz zu vielen Börsen erlaubt Kraken keine SMS als eigenständige 2FA-Methode bei risikoreichen Vorgängen wie Abhebungen oder der Erstellung von API-Schlüsseln. Es dient nur als Fallback-Wiederherstellungskanal.

3. Das System verwendet RFC 6238-konforme zeitbasierte Einmalpasswörter mit 30-Sekunden-Intervallen und SHA-1-Hashing. Jeder Code ist kryptografisch an den einzigartigen geheimen Seed des Benutzers gebunden, der ausschließlich auf den sicheren HSMs von Kraken gespeichert ist.

4. Benutzer müssen die Identitätsüberprüfung (KYC Level 2) abschließen, bevor sie Hardware-Sicherheitsschlüssel aktivieren. Dadurch wird sichergestellt, dass die biometrische und dokumentenbasierte Bescheinigung vor der physischen Token-Bindung erfolgt.

5. Die 2FA-Schnittstelle von Kraken trennt die Anmeldeüberprüfung von der Transaktionssignierung – das bedeutet, dass Auszahlungsbestätigungen eine zusätzliche kryptografische Signatur erfordern, die sich von der Authentifizierung der ersten Sitzung unterscheidet.

Schritt-für-Schritt-Anleitung zur Einrichtung des Google Authenticators

1. Melden Sie sich über den offiziellen Browser oder die Desktop-App bei Kraken an – nicht über das mobile Web. Navigieren Sie zu Einstellungen → Sicherheit → Zwei-Faktor-Authentifizierung.

2. Klicken Sie auf „Authenticator-App aktivieren“ und scannen Sie den angezeigten QR-Code mit Google Authenticator, Authy oder Microsoft Authenticator. Überspringen Sie nicht den manuellen Sicherungsschritt.

3. Geben Sie den von der App generierten sechsstelligen Code in das Verifizierungsfeld von Kraken ein. Eine Erfolgsmeldung erscheint erst, nachdem Kraken die HMAC-SHA1-Ausgabe anhand seines internen zeitsynchronisierten Zählers validiert hat.

4. Laden Sie sofort den auf dem Bildschirm angezeigten Wiederherstellungssatz mit 16 Wörtern herunter und drucken Sie ihn aus. Offline speichern – Kraken behält diese Phrase nicht bei und kann sie auch nicht neu generieren.

5. Deaktivieren Sie die 2FA-Optionen für SMS und E-Mail im selben Menü. Diese bleiben sichtbar, werden jedoch ausgegraut, sobald TOTP aktiv ist, um ein versehentliches Zurücksetzen zu verhindern.

Integrationsprozess für Hardware-Sicherheitsschlüssel

1. Stecken Sie Ihr FIDO2-kompatibles Gerät (YubiKey 5Ci, SoloKeys, Nitrokey FIDO2) in einen USB-C- oder NFC-fähigen Anschluss, bevor Sie mit der Einrichtung beginnen.

2. Klicken Sie unter Einstellungen → Sicherheit → Hardware-Sicherheitsschlüssel auf „Neuen Schlüssel hinzufügen“. Kraken initiiert den WebAuthn-Registrierungsablauf mit der RP-ID „kraken.com“.

3. Tippen Sie auf die Taste, wenn Sie dazu aufgefordert werden. Das Gerät generiert ein ECDSA P-256-Schlüsselpaar; Der öffentliche Schlüssel wird an Kraken gesendet, während der private Schlüssel die Hardware nie verlässt.

4. Vergeben Sie eine Bezeichnung (z. B. „Arbeits-Laptop“) und bestätigen Sie die Registrierung. Kraken speichert nur die Anmeldeinformations-ID, den Hash der Bescheinigungserklärung und den Schlüsseltyp – nicht den vollständigen öffentlichen Schlüssel.

5. Aktivieren Sie „Hardwareschlüssel für Auszahlungen erforderlich“ unter „Erweiterte Sicherheitsoptionen“. Dies erzwingt eine U2F-Challenge-Response für jede Krypto- oder Fiat-Überweisung, die 500 US-Dollar übersteigt.

Konfiguration der globalen Einstellungssperre (GSL).

1. GSL ist Krakens proprietärer Kontosperrmechanismus. Es beschränkt alle sensiblen Aktionen – einschließlich Passwortänderungen, 2FA-Resets und E-Mail-Updates – auf vorab genehmigte IP-Bereiche.

2. Greifen Sie über Einstellungen → Sicherheit → Globale Einstellungssperre auf GSL zu. Setzen Sie bis zu fünf IPv4/IPv6-Subnetze mithilfe der CIDR-Notation auf die Whitelist (z. B. 2001:db8::/32).

3. Jeder Whitelist-Eintrag erfordert eine Bestätigung sowohl über TOTP als auch über die Hardware-Schlüsselsignatur. Es gibt keine Ausnahmen – selbst der Kraken-Support kann dies nicht außer Kraft setzen.

4. GSL blockiert neue Geräteanmeldungen außerhalb von Netzwerken auf der Whitelist, selbst wenn gültige 2FA-Codes bereitgestellt werden. Nach jeder GSL-Änderung gilt eine Abklingzeit von 72 Stunden.

5. Das Whitelisting von Rückzugsadressen funktioniert unabhängig, lässt sich jedoch in GSL integrieren: Nur Adressen, die von IPs auf der Whitelist hinzugefügt wurden, werden in der Dropdown-Liste der genehmigten Liste angezeigt.

Häufig gestellte Fragen

F1: Kann ich mehrere Hardwareschlüssel gleichzeitig verwenden? Ja. Kraken erlaubt bis zu drei registrierte FIDO2-Geräte pro Konto. Jede Taste funktioniert unabhängig – das Widerrufen einer Taste hat keine Auswirkungen auf andere.

F2: Was passiert, wenn mein YubiKey physisch beschädigt ist? Sie müssen Ihren ausgedruckten 16-Wörter-Wiederherstellungssatz verwenden, um alle Hardwareschlüssel zu deaktivieren und neue erneut zu registrieren. Kraken speichert keine wichtigen Metadaten, die eine Remote-Deaktivierung ermöglichen würden.

F3: Unterstützt Kraken Passkeys anstelle von Hardwareschlüsseln? Nein. Seit April 2026 implementiert Kraken nur noch FIDO2 WebAuthn-Standards. Die Passkey-Funktionalität (WebAuthn + Synchronisierungsschicht) wird aufgrund kryptografischer Isolationsanforderungen weiterhin nicht unterstützt.

F4: Kann ich ohne Hardwareschlüssel Geld abheben, wenn GSL aktiviert ist? Nein. Wenn GSL aktiv ist und „Hardwareschlüssel für Auszahlungen erforderlich“ aktiviert ist, kann die WebAuthn-Behauptung nicht umgangen werden – selbst mit korrektem TOTP und Passwort.