如何在 Kraken 上启用 2FA 和硬件密钥以获得最大的安全性？ （账户安全）

了解 Kraken 的 2FA 架构

1. Kraken 对基本查看之外的所有帐户操作强制执行强制双因素身份验证。该平台支持基于 TOTP 的身份验证器、短信和电子邮件作为次要因素，但建议仅将 TOTP 用于生产用途。

2. 与许多交易所不同，Kraken 不允许在提款或 API 密钥创建等高风险操作期间将短信作为独立的 2FA 方法。它仅用作后备恢复通道。

3. 系统使用符合 RFC 6238 标准的基于时间的一次性密码（间隔 30 秒）和 SHA-1 散列。每个代码都以加密方式绑定到专门存储在 Kraken 安全 HSM 上的用户独特的秘密种子。

4. 用户在启用硬件安全密钥之前必须完成身份验证（KYC Level 2）。这确保了生物识别和基于文档的证明先于物理令牌绑定。

5. Kraken 的 2FA 接口将登录验证与交易签名分开，这意味着提款确认需要与初始会话身份验证不同的额外加密签名。

Google 身份验证器设置步骤

1. 通过官方浏览器或桌面应用程序（而非移动网络）登录 Kraken。导航到设置→安全→双因素身份验证。

2. 单击“启用身份验证器应用程序”，然后使用 Google Authenticator、Authy 或 Microsoft Authenticator 扫描显示的二维码。不要跳过手动备份步骤。

3. 将应用程序生成的六位数代码输入到 Kraken 的验证字段中。仅当 Kraken 根据其内部时间同步计数器验证 HMAC-SHA1 输出后，才会显示成功消息。

4. 立即下载并打印屏幕上显示的 16 字恢复短语。离线存储 — Kraken 不会保留该短语，也无法重新生成它。

5. 在同一菜单中禁用短信和电子邮件 2FA 选项。这些仍然可见，但一旦 TOTP 处于活动状态，就会变灰，以防止意外恢复。

硬件安全密钥集成流程

1. 在开始设置之前，将 FIDO2 兼容设备（YubiKey 5Ci、SoloKeys、Nitrokey FIDO2）插入 USB-C 或支持 NFC 的端口。

2. 在设置 → 安全 → 硬件安全密钥中，单击“添加新密钥”。 Kraken 使用 RP ID“kraken.com”启动 WebAuthn 注册流程。

3. 出现提示时点击 键。设备生成 ECDSA P-256 密钥对；公钥被发送到 Kraken，而私钥永远不会离开硬件。

4. 分配标签（例如“工作笔记本电脑”）并确认注册。 Kraken 仅存储凭证 ID、证明语句哈希和密钥类型，而不是完整的公钥。

5. 在高级安全选项下启用“提款需要硬件密钥”。这迫使 U2F 对每笔超过 500 美元的加密货币或法币转账进行质询响应。

全局设置锁定 (GSL) 配置

1. GSL是Kraken专有的账户锁定机制。它将所有敏感操作（包括密码更改、2FA 重置和电子邮件更新）限制在预先批准的 IP 范围内。

2. 通过设置 → 安全 → 全局设置锁访问 GSL。使用 CIDR 表示法将最多五个 IPv4/IPv6 子网列入白名单（例如 2001:db8::/32）。

3. 每个白名单条目都需要通过 TOTP 和硬件密钥签名进行确认。没有例外——即使 Kraken 支持也无法覆盖这一点。

4. 即使提供了有效的 2FA 代码，GSL 也会阻止白名单网络之外的新设备登录。任何 GSL 修改后都会有 72 小时的冷却时间。

5. 提现地址白名单独立运行，但与 GSL 集成：只有从白名单 IP 添加的地址才会出现在批准列表下拉列表中。

常见问题解答

Q1：我可以同时使用多个硬件密钥吗？是的。 Kraken 允许每个帐户最多注册三个 FIDO2 设备。每个密钥都是独立运行的——撤销一个密钥不会影响其他密钥。

问题 2：如果我的 YubiKey 物理损坏怎么办？您必须使用打印的 16 字恢复短语来禁用所有硬件密钥并重新注册新密钥。 Kraken 不存储允许远程停用的关键元数据。

Q3：Kraken 是否支持密钥而不是硬件密钥？不可以。截至 2026 年 4 月，Kraken 仅实施 FIDO2 WebAuthn 标准。由于加密隔离要求，密钥功能（WebAuthn + 同步层）仍然不受支持。

Q4：如果启用了 GSL，我可以在没有硬件密钥的情况下提取资金吗？不会。当 GSL 处于活动状态并且“提款需要硬件密钥”处于打开状态时，即使使用正确的 TOTP 和密码，WebAuthn 断言也是不可绕过的。