TOTP steht für *Time-based One-Time Password* (RFC 6238). Beim Aktivieren von 2FA tauscht deine Authenticator-App ein Geheimnis mit TradeOnyx aus — eingebettet im QR-Code, den du beim Setup scannst. Ab dann erzeugt deine App alle 30 Sekunden einen neuen 6-stelligen Code aus diesem Geheimnis und der aktuellen Uhrzeit. Der Login fragt den Code zusätzlich zum Passwort ab.
Das Geheimnis liegt ausschließlich auf dem Backend (Fernet-verschlüsselt at-rest) und auf deinem Handy. TradeOnyx kennt deine Code-Erzeugung nicht; die Authenticator-App kennt deine anderen TradeOnyx-Daten nicht. Beide Seiten tauschen nur den 6-stelligen Code beim Login aus — und der ist 30 Sekunden später wertlos.
Backup-Codes sind 10 zufällige Zeichenketten, die TradeOnyx beim Abschluss der Einrichtung einmal erzeugt. Jeder funktioniert genau einmal und nur dann, wenn du nicht an deine Authenticator-App kommst. Sichere sie in einem Passwort-Manager oder drucke sie aus — du siehst diese Liste nicht erneut, außer du erzeugst neue.
- Pflicht für Admins. Admin-Konten in TradeOnyx haben Zugriff auf alle Nutzerdaten; der zweite Faktor ist nicht verhandelbar. Der Login-Flow erzwingt das Setup beim ersten Login für jeden Admin ohne 2FA.
- Optional, aber dringend empfohlen für alle anderen. Deine Trade-Historie ist persönliche Daten; Passwort-Wiederverwendung über mehrere Dienste hinweg ist der häufigste Angriffsvektor; 2FA schließt die Tür auch dann, wenn das Passwort schon woanders geleakt ist.
- Das 30-Sekunden-Fenster ist großzügig. TradeOnyx akzeptiert Codes aus dem vorigen und dem nächsten 30-Sekunden-Fenster (±30 s) — Tipp-Geschwindigkeit oder eine leicht verschobene Handy-Uhr sind kein Login-Killer.
- Backup-Codes ersetzen NICHT das Passwort. Sie ersetzen nur den 2FA-Code. Wenn du das Passwort vergisst, nutze den Passwort-Zurücksetzen-Flow — die Backup-Codes helfen dabei nicht.
Einrichten. Öffne Einstellungen → Sicherheit im Dashboard. Klicke *2FA einrichten*, scanne den QR-Code mit deiner Authenticator-App, tippe den ersten 6-stelligen Code, den deine App anzeigt, und bestätige. TradeOnyx zeigt dir 10 Backup-Codes — speichere sie an einem Ort, den dein Passwort-Manager nicht vom gleichen Gerät synchronisiert wie die Authenticator-App (anderes Gerät, idealerweise ein Ausdruck im Aktenschrank).
Login im Alltag. Mit aktivem 2FA ist der Login zweistufig: E-Mail + Passwort wie gewohnt, danach der 6-stellige Code aus deiner App. Codes wechseln alle 30 Sekunden — wenn dein Code abläuft, bevor du fertig getippt hast, lies einfach den nächsten.
Handy verloren, keine Backup-Codes. Schreibe an [email protected] mit der Mail-Adresse des Kontos. Wir können 2FA nach manueller Identitätsprüfung zurücksetzen, aber das dauert deutlich länger als ein Backup-Code. Pre-Launch-Trader-Realität: verliere nie beides gleichzeitig.
Gerätewechsel. Öffne Einstellungen → Sicherheit → *Neue Backup-Codes erzeugen* (entwertet die alten), deaktiviere danach 2FA und richte es auf dem neuen Gerät erneut ein. Das neue Authenticator-Pairing ersetzt das alte Geheimnis sauber.
Passkeys — die phishing-resistente Alternative. Unter der 2FA-Karte findest du den Abschnitt *Passkeys*. Ein Passkey ersetzt Passwort und 6-stelligen Code durch eine einzige Face-ID-, Touch-ID-, Windows-Hello- oder Hardware-Key-Bestätigung. Passkeys sind an die Domain tradeonyx.io gebunden — eine Phishing-Seite kann deinen Authenticator nicht auslösen, Punkt. Du kannst Passkeys parallel zu TOTP nutzen (jede registrierte Methode öffnet das Konto) oder als alleinigen Faktor. Lege einen Passkey pro Gerät an, von dem du dich anmeldest; entziehe jeden, den du nicht wiedererkennst, genauso wie du ein vertrautes Gerät entziehst.