Anleitung zur Fehlerbehebung bei Passkeys

Cross-Device Passkeys können auf jedem Gerät zur Anmeldung verwendet werden. Sie können auch als Roaming 2FA bezeichnet werden. Beispiele sind:

• Cloud-synced passkey: Passkeys, die mit einem Cloud-Konto gespeichert sind, z. B. iCloud Keychain, Password Manager, Google account.

• Mobile device-based passkey: Passkeys, die auf Ihrem Mobilgerät erstellt und gespeichert werden. Sie können die Biometrie Ihres Geräts nutzen.

• Hardware Security Key: Passkeys, die mit einem Yubikey oder einem ähnlichen physischen FIDO2-Gerät erstellt wurden.

Device-Bound Passkeys können nur auf einem einzigen Gerät verwendet werden, d. h. auf dem Gerät, auf dem sie erstellt wurden. Sie können auch als Non-Roaming 2FA bezeichnet werden. Beispiele sind:

• Browser-specific passkey: Erstellt und gespeichert innerhalb eines Browserprofils (z. B. Chrome, Firefox, Edge).

Mögliche Ursachen:

• Ein Cross-Device Passkey wurde auf Ihrem Telefon erstellt und nicht mit anderen Geräten synchronisiert.

• Der PC fragt nach einem USB-Sicherheitsschlüssel.

• Das Windows-Sicherheitsbanner zeigt nur die USB-Option an.

• Der QR-Code-Scan funktioniert nicht, insbesondere wenn mehrere Android-Passkeys vorhanden sind.

Mögliche Lösungen:

• Stellen Sie sicher, dass Bluetooth sowohl auf Ihrem Telefon als auch auf Ihrem Computer aktiviert ist.

• Halten Sie beide Geräte während der Authentifizierung nah beieinander.

• Ein auf einem Mobilgerät erstellter Device-Bound Passkey kann mit einem anderen Gerät geteilt werden. Scannen Sie den QR-Code mit Ihrem Mobilgerät und bestätigen Sie dies mithilfe von Biometrie.

• Stellen Sie sicher, dass Sie die richtige Passkey-Methode verwenden.

  • Wenn Sie auf Ihrem Computer aufgefordert werden, den Passkey einzugeben (einschließlich einer USB-Methode, falls Sie keine haben), suchen Sie nach „Methode ändern“ oder „Weitere Optionen“ und wählen Sie diese aus (die Formulierung kann je nach Gerät variieren).

• Wenn Sie einen Windows-PC verwenden und Windows Hello (PIN, Fingerabdruck, Gesichtserkennung) eingerichtet haben, versuchen Websites manchmal automatisch, dies als Passkey zu verwenden.

  • Gehen Sie zu Windows-Einstellungen > Konten > Anmeldeoptionen.

  • Suchen Sie nach Optionen im Zusammenhang mit „Windows Hello PIN“ oder „Sicherheitsschlüssel“.

• Wenn mehrere Passkeys im Passwortmanager Ihres Geräts aktiviert sind, stellen Sie sicher, dass Sie den geeigneten, aktiven Schlüssel für das richtige Kraken-Konto auswählen.

Wenn die oben genannten Schritte nicht funktionieren:

1. Melden Sie sich auf Ihrem Telefon bei Ihrem Kraken-Konto an.

2. Navigieren Sie zu Ihren Sicherheitseinstellungen.

3. Aktivieren Sie einen zusätzlichen Cross-Device Passkey. Ihre Optionen umfassen:
   a. Cloud-synchronisierter Passkey, z. B. iCloud Keychain, Password Manager.
   b. Gerätebasierter Passkey, der auf Ihrem Mobilgerät erstellt und gespeichert wird.
   c. Hardware-Sicherheitsschlüssel.

4. Verwenden Sie diesen neuen Passkey, um sich auf Ihrem Computer bei Ihrem Konto anzumelden.

Das Einrichten von Passkeys kann ein so schneller Prozess sein, dass es, wenn Sie neu in diesem Prozess sind, verwirrend sein kann, welche Art von Passkey hinzugefügt und wo er gespeichert wurde.

Wenn Sie derzeit in Ihrem Konto angemeldet sind, navigieren Sie zu Ihren Sicherheitseinstellungen, um zu sehen, welche Passkeys aktiviert sind. Sie können den Typ des Passkeys (Cross-Device, Device-Bound, Hardware Security Key usw.) und eine Beschreibung sehen, wo er erstellt/gespeichert wurde, z. B. Chrome auf Mac, Password Manager usw.

Wenn etwas unklar ist, fügen Sie einen neuen Cross-Device Passkey hinzu, benennen Sie die Beschreibung in etwas Vertrautes um und entfernen Sie alle Passkeys, die Sie nicht erkennen. Sobald die Anmelde-2FA aktiviert ist, werden unsere Systeme immer mindestens einen Cross-Device Passkey erzwingen.

Wenn Sie mehrere Kraken-Konten haben, stellen Sie sicher, dass Sie auf allen Geräten im selben Konto angemeldet sind und den richtigen Passkey für das richtige Konto verwenden.

Wenn Sie sich nicht in Ihrem Konto anmelden können, können Ihnen die folgenden Fragen zur Passkey-Einrichtung helfen, ihn zu finden:

• Haben Sie einen QR-Code mit Ihrem Mobilgerät gescannt?

  • Wenn ja, kann der Passkey entweder im Schlüsselbund/Keystore Ihres Geräts oder in Ihrem Passwortmanager gespeichert sein, falls Sie einen haben. Überprüfen Sie diese.

• Haben Sie Ihren Hardware-Sicherheitsschlüssel eingefügt und angetippt?

  • Der Passkey wurde wahrscheinlich mit Ihrem Hardware-Sicherheitsschlüssel erstellt. Wenn Sie nach einem Passkey gefragt werden, wählen Sie die Option, die mit Sicherheitsschlüssel verbunden ist. Je nach Gerät/Browser müssen Sie möglicherweise auf eine Schaltfläche wie „Weitere Optionen“ oder „Methode ändern“ klicken, um die Option Sicherheitsschlüssel zu sehen.

Wenn Sie Ihren Passkey immer noch nicht finden und sich nicht in Ihrem Konto anmelden können:

1. Navigieren Sie zu kraken.com/sign-in

2. Geben Sie Ihre E-Mail/Ihren Benutzernamen und Ihr Passwort ein

3. Wenn Sie nach einem Passkey gefragt werden, klicken Sie auf „Konto wiederherstellen“

4. Befolgen Sie die Anweisungen auf dem Bildschirm

Ob ein Passkey als „Device-Bound“ oder „Cross-Device“ bezeichnet wird, hängt von den Informationen ab, die die Authentifizierungsmethode Kraken während der Registrierung bereitstellt.

Wir haben sporadische Berichte von einigen Kunden erhalten, die einen Cross-Device Passkey registrieren; dieser wird als Device-Bound Passkey in einem Kraken-Konto registriert. Dies ist kein Problem mit Kraken, sondern ein Problem mit der Authentifizierungsmethode selbst und den Informationen, die sie an Kraken weitergibt.

Wir haben Berichte bestätigt, dass dies auftreten kann bei:

• Bitwarden

• Mobile gerätebasierte Passkeys auf Android

Andere Authentifizierungsmethoden können betroffen sein.

Was Sie tun können:

• Wenden Sie sich an den Support Ihrer Authentifizierungsmethode und melden Sie das Problem dort.

• Erstellen Sie einen alternativen Cross-Device Passkey entweder mit einem Mobilgerät (Telefon/Tablet) oder einem Hardware-Sicherheitsschlüssel. Siehe Was ist ein Passkey?

Sobald die Anmelde-2FA aktiviert ist, werden unsere Systeme erzwingen, dass immer mindestens ein Cross-Device Passkey oder eine Authenticator App aktiviert ist. Dies soll sicherstellen, dass Sie immer eine Möglichkeit haben, sich auf jedem Gerät bei Ihrem Kraken-Konto anzumelden.

Wenn Sie versuchen, einen Cross-Device Passkey oder eine Authenticator App aus Ihrem Konto zu entfernen oder zu ersetzen, ist dies unmöglich, wenn es der einzige Passkey oder die einzige Anmelde-2FA-Methode ist oder Ihr einziger anderer Passkey ein Device-Bound Passkey ist.

Wenn Sie die Anmelde-2FA bereits entweder mit einer Authenticator App oder einem Cross-Device Passkey über einen Passwortmanager oder den Schlüsselbund Ihres Geräts aktiviert haben, empfehlen wir Ihnen, sich über einen Webbrowser auf einem Computer bei Ihrem Kraken-Konto anzumelden und zusätzliche Passkeys hinzuzufügen.

Eine weitere Option ist, einen FIDO2-kompatiblen Hardware-Sicherheitsschlüssel zu erwerben, der sowohl mit dem Computer als auch mit Ihrem Mobilgerät verwendet werden kann, und diesen als zusätzliche Backup-Passkey-Methode zu nutzen.

Es ist möglich, dass Ihr Hardware-Sicherheitsschlüssel nicht unterstützt wird.

Wir unterstützen jedes Gerät, das als FIDO2 oder FIDO2/WebAuthn aufgeführt ist. U2F-Schlüssel werden möglicherweise nicht unterstützt. Erkundigen Sie sich bei Ihrem Hardware-Sicherheitsschlüssel-Anbieter, ob Ihr Gerät FIDO2/WebAuthn-konform ist.

• Stellen Sie sicher, dass Ihr Sicherheitsschlüssel NFC-kompatibel ist. Erkundigen Sie sich beim Anbieter des Hardware-Sicherheitsschlüssels.

• Überprüfen Sie, ob Ihr Telefon NFC unterstützt und aktiviert hat.

  • iPhone: iPhone 7 und neuer, mit einer unterstützten iOS-Version.

  • Android: NFC kann unter Einstellungen umgeschaltet werden, obwohl der genaue Speicherort der Einstellung variiert. Versuchen Sie, falls möglich, in Ihrer Einstellungen-App nach NFC zu suchen.

• Wenn sich Ihr Telefon in einer Hülle befindet, versuchen Sie, diese zu entfernen, um sicherzustellen, dass sie nicht stört.

  • Stellen Sie sicher, dass Sie Ihren Schlüssel in der Nähe des NFC-Lesers an Ihrem Telefon halten.

  • Wenn Sie nicht wissen, wo sich dieser befindet, wenden Sie sich an den Anbieter des Hardware-Sicherheitsschlüssels oder den Hersteller Ihres Mobilgeräts.

Einige Passwortmanager können Passkey-bezogene Anfragen abfangen, wenn Sie versuchen, einen Passkey zu erstellen oder zu verwenden. Standardmäßig fordern sie Sie oft auf, einen in ihrem Tresor gespeicherten Passkey zu verwenden – selbst wenn dort kein Passkey gespeichert ist. Dies verhindert, dass Sie auf Passkeys zugreifen können, die in Ihrem Browser, Betriebssystem oder auf einem Hardware-Schlüssel gespeichert sind.

Passwortmanager können sich als erster Handler für Passkey-Anfragen registrieren. Wenn dies geschieht:

• Der Passwortmanager antwortet zuerst, auch wenn er keinen passenden Passkey hat.

• Dies verhindert, dass andere Passkey-Quellen (wie der Browser, das Betriebssystem oder der Hardware-Schlüssel) antworten. Dies gilt sowohl für die Registrierung eines neuen Passkeys als auch für die Authentifizierung mit einem vorhandenen Passkey.

Das Problem kann auch Hardware Security Keys betreffen. Ein Passwortmanager kann die Anfrage abfangen, bevor Ihr Hardware Security Key verwendet werden kann, und so die Authentifizierung verhindern.

Lösungen:

• Die meisten Passwortmanager bieten Optionen, um diesen Konflikt zu vermeiden. Gängige Lösungen umfassen:

• Deaktivieren der Passkey-Verwaltung für eine bestimmte Domain (z. B. kraken.com).

• Überspringen oder Weiterleiten der aktuellen Anfrage, damit der integrierte Passkey-Manager Ihres Browsers (oder Hardware Security Key) antworten kann.

Wenn Sie einen Device-Bound Passkey mit einem Webbrowser aktiviert haben, kann dieser nur in diesem spezifischen Browser verwendet werden.

Wenn Sie den Passkey beispielsweise auf Ihrem Laptop mit Chrome aktiviert haben, können Sie ihn nicht mit Safari verwenden, selbst wenn Sie denselben Laptop nutzen. Ebenso, wenn Sie den Passkey auf Ihrem Desktop mit Firefox aktiviert haben, können Sie ihn nicht im Inkognito-Modus von Firefox verwenden.

Ein webbasierter Device-Bound Passkey ist so konzipiert, dass er nur mit dem exakten Browser verwendet werden kann, mit dem er erstellt wurde.

Wenn Sie jedoch einen Device-Bound Passkey auf Ihrem Telefon eingerichtet haben, können Sie ihn auf einem anderen Gerät verwenden, indem Sie den QR-Code mit Ihrem Telefon scannen und mit Ihrer Biometrie bestätigen.

Wenn Sie Ihren Hardware Security Key zuerst auf einem Windows-Gerät installiert haben, wurde Sie aufgefordert, eine PIN einzurichten. Wenn Sie eine PIN aktiviert und diese dreimal hintereinander falsch eingegeben haben, starten Sie den Sicherheitsschlüssel neu, indem Sie ihn entfernen und wieder einsetzen, bevor Sie es erneut versuchen.

Eine Übersicht zur Einrichtung oder Verwendung einer PIN finden Sie auf der Website des Herstellers Ihres Hardware Security Keys, d. h. wenn Sie einen YubiKey verwenden, besuchen Sie die Website von Yubico.

• Windows 10 oder neuer

• macOS Ventura oder neuer

• ChromeOS 109 oder neuer

• iOS 16 oder neuer

• iPadOS 16 oder neuer

• Android 9 oder neuer

• Muss das FIDO2-Protokoll unterstützen