2-Faktoren-Authentifizierung ohne Smartphone bei Kraken möglich?

[Michael H]

Hallo zusammen,

immer, wenn ich mich bei Kraken einlogge, bekomme ich eine Nachricht, daß eine 2-FA viel sicherer sei. Die Möglichkeiten, diese einzurichten, beschränken sich aber auf die Smartphones. Da ich kein Smartphone besitze, wollte ich hier mal nachfragen, ob es auch eine 2-FA für Kraken ohne die Anwendeung eines Smartphones gibt.

Ein Smartphone hab ich nicht und möchte auch keines haben.

Kann mir jemand einen Ratschlag geben?

 

Gruß

[Jokin]

Google: "WinAuth"

[..::. o.Z.o.n.e .::..]

Es gibt zwei mir einfallende Möglichkeiten z.B. ein Authenticator Addon für deinen Browser und auch eine OTP-App gibt es für alle Plattformen.

Je nachdem was dir angenehm ist. Ausprobieren – und das Dir passendste auswählen.

Wenn ich mich recht entsinne unterstützt Kraken auch Hardware-Keys. —> klick ;o))

[verado]

vor 1 Stunde schrieb Jokin:

Google: "WinAuth"

Entweder das, der versteht auch Google Authenticator Codes, oder in einer virtuellen Maschine Android x86 installieren. 

[Serpens66]

Kraken akzeptiert auch die Hardware "Yubikey" für 2FA.

[kater]

vor 2 Stunden schrieb Michael H:

Hallo zusammen,

immer, wenn ich mich bei Kraken einlogge, bekomme ich eine Nachricht, daß eine 2-FA viel sicherer sei. Die Möglichkeiten, diese einzurichten, beschränken sich aber auf die Smartphones. Da ich kein Smartphone besitze, wollte ich hier mal nachfragen, ob es auch eine 2-FA für Kraken ohne die Anwendeung eines Smartphones gibt.

Ein Smartphone hab ich nicht und möchte auch keines haben.

Kann mir jemand einen Ratschlag geben?

 

Gruß

 

vor 34 Minuten schrieb Serpens66:

Kraken akzeptiert auch die Hardware "Yubikey" für 2FA.

Wenn du immer am PC arbeitest würde ich dir die Lösung Yubikey empfehlen. 

[..::. o.Z.o.n.e .::..]

vor 4 Minuten schrieb kater:

Wenn du immer am PC arbeitest würde ich dir die Lösung Yubikey empfehlen. 

Generell kann ich dem zustimmen, aber dazu ist zu sagen – wenn der mal weg ist, dann wird es finster.

Also direkt einen Backup-Key dazu bestellen. ;o))

[kater]

vor 19 Minuten schrieb ..::. o.Z.o.n.e .::..:

Generell kann ich dem zustimmen, aber dazu ist zu sagen – wenn der mal weg ist, dann wird es finster.

Also direkt einen Backup-Key dazu bestellen. ;o))

Damit würde ich mich auf jeden Fall auseinandersetzen. Zur Vorgehensweise gibt es auch auf der Yubikey Webseite eine Hilfestellung:

Dublicate or Backup a Yubikey

 

[battlecore]

vor 13 Stunden schrieb Jokin:

Google: "WinAuth"

Nein google nicht WinAuth weil du dann möglicherweise wie viele andere auch auf eine gefälschte Seite hereinfällst die du in den Suchergebnissen findest.

@Jokin hat vielleicht auch einen direkten Link zu der Seite.

[mahatma]

vor 15 Stunden schrieb Michael H:

Hallo zusammen,

immer, wenn ich mich bei Kraken einlogge, bekomme ich eine Nachricht, daß eine 2-FA viel sicherer sei. Die Möglichkeiten, diese einzurichten, beschränken sich aber auf die Smartphones. Da ich kein Smartphone besitze, wollte ich hier mal nachfragen, ob es auch eine 2-FA für Kraken ohne die Anwendeung eines Smartphones gibt.

Ein Smartphone hab ich nicht und möchte auch keines haben.

Kann mir jemand einen Ratschlag geben?

 

Gruß

Verstehe deine Abneigung gegen Smartphones. Du könntest dir ja eins zulegen, nur um die 2Fa Geschichte zu betreiben. Dazu muss keine SIM ins Smartphone, es muss auch nicht mit dem Internet verbunden sein. (Kann sein dass man nur die Uhrzeit von Zeit zu Zeit synchronisieren muss. Da reicht auch ein gelegentlicher WLan Zugang für)

Ein Beispiel für nen OpenSource Authenticator den du dir ohne GooglePlay und Konsorten ziehen kannst:

https://github.com/andOTP/andOTP

Es macht auf jeden Fall Sinn sich sowas zuzulegen.

Kraken lässt sich problemlos mit nem YUBI-Key betreiben. Man sollte sich trotzdem grundsätzlich anschaun, was bei Verlust des YUBI-Keys passiert. Im Falle von Kraken lässt man sich dann nen Masterkey an seine EmailAdresse schicken. Das bedeutet, der Yubikey bringt überhaupt nichts, wenn ein Angreifen Kontrolle über die bei Kraken hinterlegte EmailAdresse bekommt!

Angenommen die Email Adresse ist mit einfachem Passwort, ohne 2FA abgesichert, dann nützt der ganze Aufwand mit dem YubiKey nix.

Man sollte eine Email Adresse haben, die nur für Krypto und Börsen etc verwendet wird, und die unbedingt auch mit 2FA absichern. Schon alleine dafür macht ein altes Smartphone Sinn. Yubi-Key für die Börsenzugänge, zusätzlich 2FA auf getrenntem Gerät (altes Smartphone ohne SIM) für den Zugang zum Email Account.

Auch beim Email Account darauf achten, wie die 2FA umgangen werden kann. Und sich des schwächsten Gliedes in der Kette bewusst werden.

 

[MKE]

Am 22.11.2021 um 09:20 schrieb mahatma:

Das bedeutet, der Yubikey bringt überhaupt nichts, wenn ein Angreifen Kontrolle über die bei Kraken hinterlegte EmailAdresse bekommt!

Ich gebe dir Recht, dass man sich um die Sicherheit seines Email-Accounts kümmern und ihn ebenfalls mit 2FA absichern sollte. Aber deine Aussage oben stimmt nicht. Wenn ein Angreifer dein Email-Konto kapert, kommt er trotzdem nicht auf Kraken, wel er sich ohne Yubikey gar nicht erst einloggen kann. Und ohne Einloggen wird das nur manuell und mit mehreren zusätzlichen Sicherheitsüberprüfungen funktionieren. 

[mahatma]

vor 3 Stunden schrieb MKE:

Ich gebe dir Recht, dass man sich um die Sicherheit seines Email-Accounts kümmern und ihn ebenfalls mit 2FA absichern sollte. Aber deine Aussage oben stimmt nicht. Wenn ein Angreifer dein Email-Konto kapert, kommt er trotzdem nicht auf Kraken, wel er sich ohne Yubikey gar nicht erst einloggen kann. Und ohne Einloggen wird das nur manuell und mit mehreren zusätzlichen Sicherheitsüberprüfungen funktionieren. 

Ich benutz Kraken mit nem Yubi-Key. Wenn ich ohne den Yubi-Key einloggen will, sagt mir Kraken ich soll meine email-adresse angeben, und dann wird ein Masterkey an die Emailadresse geschickt.

Also muss der Angreifer nur wissen, welche Email-Adresse bei Kraken hinterlegt ist, Zugriff darauf haben, und schon lässt sich der Yubi-Key zurücksetzen.

Ich hab den Prozess schonmal gemacht, ist ne Zeit her, aber ich meine mich zu entsinnen, dass es ausser der Email keine weitere Sicherheitsvorkehrung gab. Vielleicht kann man das auch anders einstellen, in den Security Settings, aber ich mein so war das.

Vielleicht täusch ich mich, probiers mal aus und schau was passiert. 

[kater]

vor 33 Minuten schrieb mahatma:

Ich benutz Kraken mit nem Yubi-Key. Wenn ich ohne den Yubi-Key einloggen will, sagt mir Kraken ich soll meine email-adresse angeben, und dann wird ein Masterkey an die Emailadresse geschickt.

Also muss der Angreifer nur wissen, welche Email-Adresse bei Kraken hinterlegt ist, Zugriff darauf haben, und schon lässt sich der Yubi-Key zurücksetzen.

Ich hab den Prozess schonmal gemacht, ist ne Zeit her, aber ich meine mich zu entsinnen, dass es ausser der Email keine weitere Sicherheitsvorkehrung gab. Vielleicht kann man das auch anders einstellen, in den Security Settings, aber ich mein so war das.

Vielleicht täusch ich mich, probiers mal aus und schau was passiert. 

Wenn das so sein sollte, hast du natürlich recht! Ich probiere das bei Gelegenheit mal aus! 
Unabhängig davon ist es aber sinnvoll seinen E-Mail Acc., wenn möglich, neben einem sicheren Passwort auch mit 2FA zu sichern. Zumindest sind die Hürden schon mal deutlich höher. Meiner Meinung nach sollte man seine Mailadresse mit der man bei der Exchange gemeldet ist  1. nicht „herumposaunen“ und 2. ggf. auch von Zeit zu Zeit wechseln. Viele Webanbieter haben auch Mail-Aliases im Webangebot. Die kann man super für wechselnde Mailadressen nutzen.

[MKE]

vor einer Stunde schrieb mahatma:

Ich benutz Kraken mit nem Yubi-Key. Wenn ich ohne den Yubi-Key einloggen will, sagt mir Kraken ich soll meine email-adresse angeben, und dann wird ein Masterkey an die Emailadresse geschickt.

Das hat mich jetzt schwer verunsichert. Wenn ich den Yubikey nicht benutzen kann, kann ich mich nur auf eine Hilfeseite weiterleiten lassen und habe vier Auswahlmöglichkeiten:

Reset my password

Recover my username

Recover my sign-in 2FA

Contact customer support

Ich habe nicht weiterprobiert, aber ich bezweifle stark, dass die den Masterkey (!) einfach so per Email verschicken. Kraken ist sicherheitstechnisch die Top-Exchange, das würde einfach überhaupt nicht zu ihnen passen.

[mahatma]

vor einer Stunde schrieb MKE:

Das hat mich jetzt schwer verunsichert. Wenn ich den Yubikey nicht benutzen kann, kann ich mich nur auf eine Hilfeseite weiterleiten lassen und habe vier Auswahlmöglichkeiten:

Reset my password

Recover my username

Recover my sign-in 2FA

Contact customer support

Ich habe nicht weiterprobiert, aber ich bezweifle stark, dass die den Masterkey (!) einfach so per Email verschicken. Kraken ist sicherheitstechnisch die Top-Exchange, das würde einfach überhaupt nicht zu ihnen passen.

ok, jetzt hast DU mich auch verunsichert...  und habs grad mal ausprobiert.

Ich hatts etwas falsch in Erinnerung.

Wenn du auf "Recover my sign-in 2FA" gehst, musst du deine Email eingeben, deinen Benutzernamen UND deinen Kraken Masterkey, dann schickt dir Kraken nen Bypass code um die 2FA zurückzusetzen.

Also braucht man den Masterkey. Aber es geht ohne Support.

Als Masterkey kann man entweder ein Masterpasswort setzen, nen Authenticator oder nen Yubi-Key.

Ich hab für diesen Fall ein Masterpasswort, das müsste ein Angreifer erstmal rausbekommen. Könnte bei nem Trojaner der den Passwortmanager ausliest vielleicht der Fall sein? (hab ich nicht genug Ahnung um das einschätzen zu können).

An der Stelle kann man natürlich auch nen Yubi-Key nehmen, mehr Sicherheit, aber mehr Stress bei Verlust.

Bearbeitet 25. November 2021 von mahatma

[abcd]

Geht auch mit dem freeware tool KeePass:

https://www.heise.de/ratgeber/Zwei-Faktor-Authentifizierung-mit-dem-Passwortmanager-KeePass-4239579.html

[MKE]

vor 17 Minuten schrieb mahatma:

Ich hab für diesen Fall ein Masterpasswort, das müsste ein Angreifer erstmal rausbekommen. Könnte bei nem Trojaner der den Passwortmanager ausliest vielleicht der Fall sein? (hab ich nicht genug Ahnung um das einschätzen zu können).

Dann sollte eigentlich ein Masterkey über einen Authenticator ein guter Schutz sein. Also mal angenommen, der Angreifer kennt deinen Benutzernamen (der ja eh schon ebenfalls kryptisch sein sollte und nirgendwo anders benutzt wird), hat deinen Email-Account übernommen und deinen Passwort-Manager ausgelesen, dann scheitert er immer noch daran, dass er nicht auf deinen Authenticator zugreifen kann. Wobei, wenn er in deinen Passwort-Manager kommt, dann wird er das wohl auch schaffen. Allerdings, wenn er den Passwort-Manager hat, dann ist die Kacke eh am Dampfen.

[RGarbach]

Bitte halte dir kurz vor Augen, wie 2FA funktioniert:

Es wird ein SECRET Key von der Entität erzeugt, die du zusätzlich schützen möchtest. Wenn dir dein Handy oder was auch immer verloren geht, oder du es ersetzen möchtest, brauchst du diesen Key wieder, also aufbewahren (Foto, aufschreiben, was auch immer)

Die App auf dem Handy, dem Tablet oder dem Toaster, erzeugt über diesen besagten Key und eine Zeitfunktion, einen sechsstelligen zahlencode (token), der eine Minute gültig bleibt. Das Ganze passiert offline und es ist somit schwer, deinen ursprünglichen Key abzuschnorcheln.

Ich persönlich verwende Authy, das ist gut gesichert und übersichtlich: Authy von Twillio

Du musst dir darüber im klaren sein, dass die Sicherheit NUR über ein zweites Gerät und das noch möglichst offline, gewährleistet werden kann. Also überlege dir gut was du tust.

[MKE]

vor 18 Minuten schrieb RGarbach:

Wenn dir dein Handy oder was auch immer verloren geht, oder du es ersetzen möchtest, brauchst du diesen Key wieder, also aufbewahren (Foto, aufschreiben, was auch immer)

Und wo bewahrt man im Allgemeinen solch kritische Informationen auf? Oftmals wahrscheinlich im (gebackupten) Passwort-Manager... ein Foto würde ich davon eher nicht machen.

[bulsan]

Am 22.11.2021 um 06:39 schrieb battlecore:

google nicht WinAuth weil du dann möglicherweise wie viele andere auch auf eine gefälschte Seite hereinfällst die du in den Suchergebnissen findest.

https://github.com/winauth/winauth/releases

Wird nicht mehr weiter entwickelt, aber tut nach wie vor alles was es soll einwandfrei.

Für Linux: https://www.nongnu.org/oath-toolkit/oathtool.1.html , gibt auch ein GUI dafür: https://github.com/OmegaPhil/two-factor-keeper

 

[battlecore]

vor einer Stunde schrieb MKE:

Und wo bewahrt man im Allgemeinen solch kritische Informationen auf? Oftmals wahrscheinlich im (gebackupten) Passwort-Manager... ein Foto würde ich davon eher nicht machen.

Die Sachen wie QR-Code usw. bekommt man bei der Börse wenn man diese Option aktiviert. Da macht man einen Screenshot und speichert es als Bild auf zwei USB-Sticks. Und dann druckt man es auch doppelt aus.

Ich machs meist so das ich ein leeres Textdokument öffne und dann die QR-Grafik mit der Maus da reinziehe. Oder rechte Maustaste auf den QR und dann "kopieren" und dann im Textdokument rechte Maustaste und "einfügen", oder Tastenkombination STRG+V.

Das ist praktisch weil ich auf das Textdokument dann gleich den Namen der Börse, Benutzername, email und Passwort schreiben kann.

Und auch die Adressen für BTC und ETH usw.

Und beliebige weitere hilfreiche Hinweise.

 

Bearbeitet 25. November 2021 von battlecore

[nattyflo]

Hab jetzt endlich mal von Google Authenticator auf Yubikey umgestellt. Ist das normal, dass man jedesmal eine (vorher festgelegte eigene) PIN eingeben muss?? in diversen Erklär-Videos sieht man da nix davon, und ich dachte auch, dass man das Ding nur reinsteckt und fertig. Man muss sich ja eh schon genug Nummern etc merken... 🤔

und was ich mich noch frage: hält der Key das echt auf Dauer am Schlüsselbund aus? Weil der goldene USB-Teil vorne ja komplett blank, also ohne Schutzkappe o.ä. ist?

Bearbeitet 13. Dezember 2021 von nattyflo

[Serpens66]

vor 11 Minuten schrieb nattyflo:

Hab jetzt endlich mal von Google Authenticator auf Yubikey umgestellt. Ist das normal, dass man jedesmal eine (vorher festgelegte eigene) PIN eingeben muss?? in diversen Erklär-Videos sieht man da nix davon, und ich dachte auch, dass man das Ding nur reinsteckt und fertig. Man muss sich ja eh schon genug Nummern etc merken... 🤔

und was ich mich noch frage: hält der Key das echt auf Dauer am Schlüsselbund aus? Weil der goldene USB-Teil vorne ja komplett blank, also ohne Schutzkappe o.ä. ist?

ist das mit der PIN bei Kraken so? Bei mailbox.org habe ich auch so eine PIN davor, aber die merkt sich einfach der Passwortmanager. Gibt aber auch Dienste wo ausschließlich der Yubikey reicht, ohne Pin davor. Weiß nicht ob das sicherheitstechnisch sinnvoller ist?!

Gibt bestimmt Schutzkappen/Cover für den Yubikey. An Schlüsselbund würde ich den ohne sowas sicherlich nicht mitnehmen.
 

[nattyflo]

vor 1 Minute schrieb Serpens66:

ist das mit der PIN bei Kraken so? Bei mailbox.org habe ich auch so eine PIN davor, aber die merkt sich einfach der Passwortmanager. Gibt aber auch Dienste wo ausschließlich der Yubikey reicht, ohne Pin davor. Weiß nicht ob das sicherheitstechnisch sinnvoller ist?!

Gibt bestimmt Schutzkappen/Cover für den Yubikey. An Schlüsselbund würde ich den ohne sowas sicherlich nicht mitnehmen.
 

Bei Kraken muss ich ihn erst noch einrichten, das war jetzt bei Binance. Aber damit hat es anscheinend nichts zu tun, sondern es ist so eine graue Windows-Box, die sich da auftut und die PIN verlangt. Hab das hier gefunden, da steht dass das anscheinend gängige Praxis ist:

https://www.heise.de/select/ct/2019/22/1571743995528045

"So sind die eingebauten virtuellen Schlüssel in Windows und Android immer durch einen zweiten Faktor, also etwa einen Fingerabdruck oder eine PIN geschützt, die eine Nutzung durch Fremde verhindern."

Unter dem Punkt "mechanische Probleme" steht folgendes:

"Die Token sind für das Tragen am Schlüsselbund ausgelegt. Wir haben etwa mit den Yubikeys diesbezüglich bereits sehr gute Erfahrungen gemacht. Die überleben auch mehrere Jahre rauen Einsatz am Schlüsselbund und zeigen danach zwar deutliche Abnutzungsspuren, funktionieren aber immer noch problemlos."

 

[nattyflo]

vor 1 Stunde schrieb nattyflo:

 

"So sind die eingebauten virtuellen Schlüssel in Windows und Android immer durch einen zweiten Faktor, also etwa einen Fingerabdruck oder eine PIN geschützt, die eine Nutzung durch Fremde verhindern."

 

@Serpens66hab den Yubikey jetzt bei Kraken eingerichtet (und einen zweiten als "Masterkey"), und siehe da: es wird keine PIN benötigt! Versteh ich nicht.. Kann sich da noch jemand dazu äußern?