如何在 Kraken 上啟用 2FA 和硬體金鑰以獲得最大的安全性？ （帳戶安全）

了解 Kraken 的 2FA 架構

1. Kraken 對基本檢視以外的所有帳戶操作強制執行強制雙重認證。該平台支援基於 TOTP 的身份驗證器、簡訊和電子郵件作為次要因素，但建議僅將 TOTP 用於生產用途。

2. 與許多交易所不同，Kraken 不允許在提款或 API 金鑰創建等高風險操作期間將簡訊作為獨立的 2FA 方法。它僅用作後備恢復通道。

3. 系統使用符合 RFC 6238 標準的基於時間的一次性密碼（間隔 30 秒）和 SHA-1 雜湊。每個代碼都以加密方式綁定到專門儲存在 Kraken 安全 HSM 上的使用者獨特的秘密種子。

4. 使用者在啟用硬體安全密鑰之前必須完成身份驗證（KYC Level 2）。這確保了生物識別和基於文件的證明先於物理令牌綁定。

5. Kraken 的 2FA 介面將登入驗證與交易簽章分開，這表示提款確認需要與初始會話驗證不同的額外加密簽章。

Google 驗證器設定步驟

1. 透過官方瀏覽器或桌面應用程式（而非行動網路）登入 Kraken。導航至設定→安全性→雙重認證。

2. 按一下“啟用身份驗證器應用程式”，然後使用 Google Authenticator、Authy 或 Microsoft Authenticator 掃描顯示的二維碼。不要跳過手動備份步驟。

3. 將應用程式產生的六位數代碼輸入到 Kraken 的驗證欄位中。只有當 Kraken 根據其內部時間同步計數器驗證 HMAC-SHA1 輸出後，才會顯示成功訊息。

4. 立即下載並列印螢幕上顯示的 16 字恢復短語。離線儲存 — Kraken 不會保留該短語，也無法重新產生它。

5. 在同一選單中停用簡訊和電子郵件 2FA 選項。這些仍然可見，但一旦 TOTP 處於活動狀態，就會變灰，以防止意外恢復。

硬體安全金鑰整合流程

1. 在開始設定之前，將 FIDO2 相容裝置（YubiKey 5Ci、SoloKeys、Nitrokey FIDO2）插入 USB-C 或支援 NFC 的連接埠。

2. 在設定 → 安全性 → 硬體安全性金鑰中，按一下「新增金鑰」。 Kraken 使用 RP ID「kraken.com」啟動 WebAuthn 註冊流程。

3. 出現提示時點選 鍵。裝置產生 ECDSA P-256 金鑰對；公鑰被傳送到 Kraken，而私鑰永遠不會離開硬體。

4. 分配標籤（例如「工作筆記型電腦」）並確認註冊。 Kraken 僅儲存憑證 ID、證明語句雜湊和金鑰類型，而不是完整的公鑰。

5. 在進階安全性選項下啟用「提款需要硬體金鑰」。這迫使 U2F 對每筆超過 500 美元的加密貨幣或法幣轉帳進行質詢回應。

全域設定鎖定 (GSL) 配置

1. GSL是Kraken專有的帳戶鎖定機制。它將所有敏感操作（包括密碼變更、2FA 重設和電子郵件更新）限制在預先核准的 IP 範圍內。

2. 透過設定 → 安全性 → 全域設定鎖定存取 GSL。使用 CIDR 表示法將最多五個 IPv4/IPv6 子網路列入白名單（例如 2001:db8::/32）。

3. 每個白名單條目都需要透過 TOTP 和硬體金鑰簽章進行確認。沒有例外——即使 Kraken 支援也無法覆蓋這一點。

4. 即使提供了有效的 2FA 代碼，GSL 也會阻止白名單網路以外的新裝置登入。任何 GSL 修改後都會有 72 小時的冷卻時間。

5. 提現位址白名單獨立運行，但與 GSL 整合：只有從白名單 IP 新增的位址才會出現在核准清單下拉清單中。

常見問題解答

Q1：我可以同時使用多個硬體金鑰嗎？是的。 Kraken 允許每個帳戶註冊最多三個 FIDO2 設備。每個密鑰都是獨立運作的－撤銷一個密鑰不會影響其他密鑰。

問題 2：如果我的 YubiKey 物理損壞怎麼辦？您必須使用列印的 16 字復原短語來停用所有硬體金鑰並重新註冊新金鑰。 Kraken 不儲存允許遠端停用的關鍵元資料。

Q3：Kraken 是否支援金鑰而不是硬體金鑰？不可以。截至 2026 年 4 月，Kraken 僅實施 FIDO2 WebAuthn 標準。由於加密隔離要求，金鑰功能（WebAuthn + 同步層）仍然不受支援。

Q4：如果啟用了 GSL，我可以在沒有硬體金鑰的情況下提取資金嗎？不會。當 GSL 處於活動狀態且「提款需要硬體金鑰」處於開啟狀態時，即使使用正確的 TOTP 和密碼，WebAuthn 斷言也是不可繞過的。