Jump to content

2-Faktoren-Authentifizierung ohne Smartphone bei Kraken möglich?


 Share

Recommended Posts

Hallo zusammen,

immer, wenn ich mich bei Kraken einlogge, bekomme ich eine Nachricht, daß eine 2-FA viel sicherer sei. Die Möglichkeiten, diese einzurichten, beschränken sich aber auf die Smartphones. Da ich kein Smartphone besitze, wollte ich hier mal nachfragen, ob es auch eine 2-FA für Kraken ohne die Anwendeung eines Smartphones gibt.

Ein Smartphone hab ich nicht und möchte auch keines haben.

Kann mir jemand einen Ratschlag geben?

 

Gruß

Link to comment
Share on other sites

vor 2 Stunden schrieb Michael H:

Hallo zusammen,

immer, wenn ich mich bei Kraken einlogge, bekomme ich eine Nachricht, daß eine 2-FA viel sicherer sei. Die Möglichkeiten, diese einzurichten, beschränken sich aber auf die Smartphones. Da ich kein Smartphone besitze, wollte ich hier mal nachfragen, ob es auch eine 2-FA für Kraken ohne die Anwendeung eines Smartphones gibt.

Ein Smartphone hab ich nicht und möchte auch keines haben.

Kann mir jemand einen Ratschlag geben?

 

Gruß

 

vor 34 Minuten schrieb Serpens66:

Kraken akzeptiert auch die Hardware "Yubikey" für 2FA.

Wenn du immer am PC arbeitest würde ich dir die Lösung Yubikey empfehlen. 

Link to comment
Share on other sites

vor 19 Minuten schrieb ..::. o.Z.o.n.e .::..:

Generell kann ich dem zustimmen, aber dazu ist zu sagen – wenn der mal weg ist, dann wird es finster.

Also direkt einen Backup-Key dazu bestellen. ;o))

Damit würde ich mich auf jeden Fall auseinandersetzen. Zur Vorgehensweise gibt es auch auf der Yubikey Webseite eine Hilfestellung:

Dublicate or Backup a Yubikey

 

  • Thanks 1
Link to comment
Share on other sites

vor 13 Stunden schrieb Jokin:

Google: "WinAuth"

Nein google nicht WinAuth weil du dann möglicherweise wie viele andere auch auf eine gefälschte Seite hereinfällst die du in den Suchergebnissen findest.

@Jokin hat vielleicht auch einen direkten Link zu der Seite.

Link to comment
Share on other sites

vor 15 Stunden schrieb Michael H:

Hallo zusammen,

immer, wenn ich mich bei Kraken einlogge, bekomme ich eine Nachricht, daß eine 2-FA viel sicherer sei. Die Möglichkeiten, diese einzurichten, beschränken sich aber auf die Smartphones. Da ich kein Smartphone besitze, wollte ich hier mal nachfragen, ob es auch eine 2-FA für Kraken ohne die Anwendeung eines Smartphones gibt.

Ein Smartphone hab ich nicht und möchte auch keines haben.

Kann mir jemand einen Ratschlag geben?

 

Gruß

Verstehe deine Abneigung gegen Smartphones. Du könntest dir ja eins zulegen, nur um die 2Fa Geschichte zu betreiben. Dazu muss keine SIM ins Smartphone, es muss auch nicht mit dem Internet verbunden sein. (Kann sein dass man nur die Uhrzeit von Zeit zu Zeit synchronisieren muss. Da reicht auch ein gelegentlicher WLan Zugang für)

Ein Beispiel für nen OpenSource Authenticator den du dir ohne GooglePlay und Konsorten ziehen kannst:

https://github.com/andOTP/andOTP

Es macht auf jeden Fall Sinn sich sowas zuzulegen.

Kraken lässt sich problemlos mit nem YUBI-Key betreiben. Man sollte sich trotzdem grundsätzlich anschaun, was bei Verlust des YUBI-Keys passiert. Im Falle von Kraken lässt man sich dann nen Masterkey an seine EmailAdresse schicken. Das bedeutet, der Yubikey bringt überhaupt nichts, wenn ein Angreifen Kontrolle über die bei Kraken hinterlegte EmailAdresse bekommt!

Angenommen die Email Adresse ist mit einfachem Passwort, ohne 2FA abgesichert, dann nützt der ganze Aufwand mit dem YubiKey nix.

Man sollte eine Email Adresse haben, die nur für Krypto und Börsen etc verwendet wird, und die unbedingt auch mit 2FA absichern. Schon alleine dafür macht ein altes Smartphone Sinn. Yubi-Key für die Börsenzugänge, zusätzlich 2FA auf getrenntem Gerät (altes Smartphone ohne SIM) für den Zugang zum Email Account.

Auch beim Email Account darauf achten, wie die 2FA umgangen werden kann. Und sich des schwächsten Gliedes in der Kette bewusst werden.

 

  • Thanks 1
Link to comment
Share on other sites

Am 22.11.2021 um 09:20 schrieb mahatma:

Das bedeutet, der Yubikey bringt überhaupt nichts, wenn ein Angreifen Kontrolle über die bei Kraken hinterlegte EmailAdresse bekommt!

Ich gebe dir Recht, dass man sich um die Sicherheit seines Email-Accounts kümmern und ihn ebenfalls mit 2FA absichern sollte. Aber deine Aussage oben stimmt nicht. Wenn ein Angreifer dein Email-Konto kapert, kommt er trotzdem nicht auf Kraken, wel er sich ohne Yubikey gar nicht erst einloggen kann. Und ohne Einloggen wird das nur manuell und mit mehreren zusätzlichen Sicherheitsüberprüfungen funktionieren. 

  • Thanks 1
Link to comment
Share on other sites

vor 3 Stunden schrieb MKE:

Ich gebe dir Recht, dass man sich um die Sicherheit seines Email-Accounts kümmern und ihn ebenfalls mit 2FA absichern sollte. Aber deine Aussage oben stimmt nicht. Wenn ein Angreifer dein Email-Konto kapert, kommt er trotzdem nicht auf Kraken, wel er sich ohne Yubikey gar nicht erst einloggen kann. Und ohne Einloggen wird das nur manuell und mit mehreren zusätzlichen Sicherheitsüberprüfungen funktionieren. 

Ich benutz Kraken mit nem Yubi-Key. Wenn ich ohne den Yubi-Key einloggen will, sagt mir Kraken ich soll meine email-adresse angeben, und dann wird ein Masterkey an die Emailadresse geschickt.

Also muss der Angreifer nur wissen, welche Email-Adresse bei Kraken hinterlegt ist, Zugriff darauf haben, und schon lässt sich der Yubi-Key zurücksetzen.

Ich hab den Prozess schonmal gemacht, ist ne Zeit her, aber ich meine mich zu entsinnen, dass es ausser der Email keine weitere Sicherheitsvorkehrung gab. Vielleicht kann man das auch anders einstellen, in den Security Settings, aber ich mein so war das.

Vielleicht täusch ich mich, probiers mal aus und schau was passiert. 

  • Confused 1
  • Thanks 1
Link to comment
Share on other sites

vor 33 Minuten schrieb mahatma:

Ich benutz Kraken mit nem Yubi-Key. Wenn ich ohne den Yubi-Key einloggen will, sagt mir Kraken ich soll meine email-adresse angeben, und dann wird ein Masterkey an die Emailadresse geschickt.

Also muss der Angreifer nur wissen, welche Email-Adresse bei Kraken hinterlegt ist, Zugriff darauf haben, und schon lässt sich der Yubi-Key zurücksetzen.

Ich hab den Prozess schonmal gemacht, ist ne Zeit her, aber ich meine mich zu entsinnen, dass es ausser der Email keine weitere Sicherheitsvorkehrung gab. Vielleicht kann man das auch anders einstellen, in den Security Settings, aber ich mein so war das.

Vielleicht täusch ich mich, probiers mal aus und schau was passiert. 

Wenn das so sein sollte, hast du natürlich recht! Ich probiere das bei Gelegenheit mal aus! 
Unabhängig davon ist es aber sinnvoll seinen E-Mail Acc., wenn möglich, neben einem sicheren Passwort auch mit 2FA zu sichern. Zumindest sind die Hürden schon mal deutlich höher. Meiner Meinung nach sollte man seine Mailadresse mit der man bei der Exchange gemeldet ist  1. nicht „herumposaunen“ und 2. ggf. auch von Zeit zu Zeit wechseln. Viele Webanbieter haben auch Mail-Aliases im Webangebot. Die kann man super für wechselnde Mailadressen nutzen.

  • Thanks 1
Link to comment
Share on other sites

vor einer Stunde schrieb mahatma:

Ich benutz Kraken mit nem Yubi-Key. Wenn ich ohne den Yubi-Key einloggen will, sagt mir Kraken ich soll meine email-adresse angeben, und dann wird ein Masterkey an die Emailadresse geschickt.

Das hat mich jetzt schwer verunsichert. Wenn ich den Yubikey nicht benutzen kann, kann ich mich nur auf eine Hilfeseite weiterleiten lassen und habe vier Auswahlmöglichkeiten:

Reset my password

Recover my username

Recover my sign-in 2FA

Contact customer support

Ich habe nicht weiterprobiert, aber ich bezweifle stark, dass die den Masterkey (!) einfach so per Email verschicken. Kraken ist sicherheitstechnisch die Top-Exchange, das würde einfach überhaupt nicht zu ihnen passen.

  • Like 1
Link to comment
Share on other sites

vor einer Stunde schrieb MKE:

Das hat mich jetzt schwer verunsichert. Wenn ich den Yubikey nicht benutzen kann, kann ich mich nur auf eine Hilfeseite weiterleiten lassen und habe vier Auswahlmöglichkeiten:

Reset my password

Recover my username

Recover my sign-in 2FA

Contact customer support

Ich habe nicht weiterprobiert, aber ich bezweifle stark, dass die den Masterkey (!) einfach so per Email verschicken. Kraken ist sicherheitstechnisch die Top-Exchange, das würde einfach überhaupt nicht zu ihnen passen.

ok, jetzt hast DU mich auch verunsichert... ;) und habs grad mal ausprobiert.

Ich hatts etwas falsch in Erinnerung.

Wenn du auf "Recover my sign-in 2FA" gehst, musst du deine Email eingeben, deinen Benutzernamen UND deinen Kraken Masterkey, dann schickt dir Kraken nen Bypass code um die 2FA zurückzusetzen.

Also braucht man den Masterkey. Aber es geht ohne Support.

Als Masterkey kann man entweder ein Masterpasswort setzen, nen Authenticator oder nen Yubi-Key.

Ich hab für diesen Fall ein Masterpasswort, das müsste ein Angreifer erstmal rausbekommen. Könnte bei nem Trojaner der den Passwortmanager ausliest vielleicht der Fall sein? (hab ich nicht genug Ahnung um das einschätzen zu können).

An der Stelle kann man natürlich auch nen Yubi-Key nehmen, mehr Sicherheit, aber mehr Stress bei Verlust.

Edited by mahatma
Link to comment
Share on other sites

vor 17 Minuten schrieb mahatma:

Ich hab für diesen Fall ein Masterpasswort, das müsste ein Angreifer erstmal rausbekommen. Könnte bei nem Trojaner der den Passwortmanager ausliest vielleicht der Fall sein? (hab ich nicht genug Ahnung um das einschätzen zu können).

Dann sollte eigentlich ein Masterkey über einen Authenticator ein guter Schutz sein. Also mal angenommen, der Angreifer kennt deinen Benutzernamen (der ja eh schon ebenfalls kryptisch sein sollte und nirgendwo anders benutzt wird), hat deinen Email-Account übernommen und deinen Passwort-Manager ausgelesen, dann scheitert er immer noch daran, dass er nicht auf deinen Authenticator zugreifen kann. Wobei, wenn er in deinen Passwort-Manager kommt, dann wird er das wohl auch schaffen. Allerdings, wenn er den Passwort-Manager hat, dann ist die Kacke eh am Dampfen.

Link to comment
Share on other sites

Bitte halte dir kurz vor Augen, wie 2FA funktioniert:

Es wird ein SECRET Key von der Entität erzeugt, die du zusätzlich schützen möchtest. Wenn dir dein Handy oder was auch immer verloren geht, oder du es ersetzen möchtest, brauchst du diesen Key wieder, also aufbewahren (Foto, aufschreiben, was auch immer)

Die App auf dem Handy, dem Tablet oder dem Toaster, erzeugt über diesen besagten Key und eine Zeitfunktion, einen sechsstelligen zahlencode (token), der eine Minute gültig bleibt. Das Ganze passiert offline und es ist somit schwer, deinen ursprünglichen Key abzuschnorcheln.

Ich persönlich verwende Authy, das ist gut gesichert und übersichtlich: Authy von Twillio

Du musst dir darüber im klaren sein, dass die Sicherheit NUR über ein zweites Gerät und das noch möglichst offline, gewährleistet werden kann. Also überlege dir gut was du tust.

Link to comment
Share on other sites

vor 18 Minuten schrieb RGarbach:

Wenn dir dein Handy oder was auch immer verloren geht, oder du es ersetzen möchtest, brauchst du diesen Key wieder, also aufbewahren (Foto, aufschreiben, was auch immer)

Und wo bewahrt man im Allgemeinen solch kritische Informationen auf? Oftmals wahrscheinlich im (gebackupten) Passwort-Manager... ein Foto würde ich davon eher nicht machen.

Link to comment
Share on other sites

Am 22.11.2021 um 06:39 schrieb battlecore:

google nicht WinAuth weil du dann möglicherweise wie viele andere auch auf eine gefälschte Seite hereinfällst die du in den Suchergebnissen findest.

https://github.com/winauth/winauth/releases

Wird nicht mehr weiter entwickelt, aber tut nach wie vor alles was es soll einwandfrei.

Für Linux: https://www.nongnu.org/oath-toolkit/oathtool.1.html , gibt auch ein GUI dafür: https://github.com/OmegaPhil/two-factor-keeper

 

  • Like 1
Link to comment
Share on other sites

vor einer Stunde schrieb MKE:

Und wo bewahrt man im Allgemeinen solch kritische Informationen auf? Oftmals wahrscheinlich im (gebackupten) Passwort-Manager... ein Foto würde ich davon eher nicht machen.

Die Sachen wie QR-Code usw. bekommt man bei der Börse wenn man diese Option aktiviert. Da macht man einen Screenshot und speichert es als Bild auf zwei USB-Sticks. Und dann druckt man es auch doppelt aus.

Ich machs meist so das ich ein leeres Textdokument öffne und dann die QR-Grafik mit der Maus da reinziehe. Oder rechte Maustaste auf den QR und dann "kopieren" und dann im Textdokument rechte Maustaste und "einfügen", oder Tastenkombination STRG+V.

Das ist praktisch weil ich auf das Textdokument dann gleich den Namen der Börse, Benutzername, email und Passwort schreiben kann.

Und auch die Adressen für BTC und ETH usw.

Und beliebige weitere hilfreiche Hinweise.

 

Edited by battlecore
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.