PayPal - 2-Faktor irgendetwas

[SpamBot]

Lässt PayPal zu das man die SMS an das Festnetz schickt? Diese wird dann vorgelesen und du tipst eben die Nummer ab.

 

[br3adwhale]

Amazon hat auch 2FA per E-Mail, ähnliches Prinzip wie Steam. PayPal ist da scheinbar echt eine Ausnahme.
Da jetzt aber ein Fass aufzumachen deswegen? SMS oder App verwenden, fertig!

 

[Dragon0001]

Mal sollte nicht vergessen, dass man per E-Mail meist das Passwort zurücksetzen kann. Der 2. Faktor sollte daher auf jeden Fall ein anderer Weg sein.

 

[gaym0r]

Nun, das ist ja gerade der Sinn einer Zwei-Faktor-Authentifizierung.
Das man eben zwei physisch getrennte Geräte nutzen muss, um sich einzuloggen.

Ist das so?
2FA beschreibt nur, dass man 2 Faktoren braucht um sich erfolgreich einzuloggen. Was das für Faktoren sind ist nirgendwo definiert.

Selbstverständlich auf dem PC, an dem man sich an PayPal anmelden möchte - ist doch logisch. Sonst kann man den Ganoven ja die zugehörigen Codes nicht frei Haus liefern.

Erkläre.
Wenn irgendwelche Ganoven an mein PayPal Kennwort kommen, was hilft es denen, dass auf meinem PC der zweite Faktor hinterlegt ist?

 

[|SoulReaver|]

Wenn man sich die AGB´s bei Paypal durchliest sollte man sich die Frage stellen ob man so einem Verein beitritt und den in Verwendung unterstützt. Ich nicht mehr und habe schon länger gekündigt. Und ich habe absolut keine Probleme meine Käufe ohne Paypal zu tätigen.

 

[Baya]

Erkläre.
Wenn irgendwelche Ganoven an mein PayPal Kennwort kommen, was hilft es denen, dass auf meinem PC der zweite Faktor hinterlegt ist?

Er hätte Ironie dazu schreiben sollen...

 

[areiland]

...Wenn irgendwelche Ganoven an mein PayPal Kennwort kommen, was hilft es denen, dass auf meinem PC der zweite Faktor hinterlegt ist?...

Automatisiert verschickte E-Mails kann man ganz bequem automatisiert auswerten und die enthaltenen Sicherheitscodes ganz automatisiert in bekannte Formulare eintragen oder verschicken. Sowas kann man schön im Hintergrund machen, während der Benutzer im Vordergrund sonstwas macht. Genau deshalb ist es völlig unsinnig, wenn sich beide Faktoren der 2FA auf dem gleichen Rechner abspielen. Wenn, dann empfängt man die E-Mails auf einem anderen Gerät in einem Konto, das auf dem Rechner mit Faktor 1 überhaupt nicht vorhanden ist. Nur so wird ein Schuh draus.

Ist jetzt klar, was ich andeuten wollte?

 

[Silverangel]

Nun, das ist ja gerade der Sinn einer Zwei-Faktor-Authentifizierung.
Das man eben zwei physisch getrennte Geräte nutzen muss, um sich einzuloggen.

Ach ist dem so? Kauf mal am Smartphone bei Amazon ein und zahle per PP mit der 2FA. Wie viele physisch getrennte Geräte brauche ich da noch mal?

Zwei-Faktor beschreibt nur 2 unterschiedliche und voneinander unabhängige Faktoren zum Identitätsnachweis.
Deine Bankkarte mit Pin ist auch 2-Faktor.

 

[Silent1337]

Weil der Anbieter davon ausgehen kann, dass du das Passwort bei mehreren Diensten verwendest. Wer 2FA ernsthaft implementiert, schließt E-Mail aus. E-Mail ist allerdings das billigste Verfahren, weil ich keine App entwickeln muss und mir keine Kosten durch SMS Versand (MTAN) entstehen.

 

[DocHobbit]

PayPal ist ja im Gegensatz zu Steam oder Amazon ein Zahlungsdienstleister. Daher dürfte auch für die die erhöhten Anforderung aus der "Payment Service Directive 2" kurz PSD2 gelten, welche seit dieses Jahr im Kraft sind. Und da dürft das 2FA per Mail nicht mehr ausreichen.

 

[Tom_123]

PayPal ist ja im Gegensatz zu Steam oder Amazon ein Zahlungsdienstleister.

Amazon auch Stichwort: Amazon Pay

 

[Tom_Callaghan]

Ach ist dem so? Kauf mal am Smartphone bei Amazon ein und zahle per PP mit der 2FA. Wie viele physisch getrennte Geräte brauche ich da noch mal?

Da wir uns in der Weihnachtszeit befinden, kann ich dir das relativ einfach beantworten. Ich brauche für das Einloggen einen PC und für die 2FA mein altes Handy. Das Smartphone brauche ich nicht. Also exakt 2 physisch getrennte Geräte.

 

[Silverangel]

@Tom_Callaghan: Nochmal lesen, bitte.
Du "kannst" es auf 2 Geräte verlegen, musst es aber je nachdem nicht(Beispiel hab ich ja geliefert) und hat auch nichts mit der Definition der 2-Faktor-Authentifizierung zu tun.

 

[ryzen-]

Ist halt auch wesentlich sicherer, als die E-Mail... Die Wahrscheinlichkeit, dass jemand Zugang zum PP-Konto und gleichzeitig auch zur E-Mail hat ist ungleich höher, als dass der Ungebetene auch physischen Zugriff auf ein zweites Gerät hat. 2FA mit E-Mail ist mehr Schein als Sein.

Ehrlich?
Und so ein Beitrag bekommt hier noch Likes?
Möchte hier nur mal anmerken, die meisten Android Smartphones sind offen wie ein Scheunentor, bekommen meist (wenn überhaupt) nur 2 Jahre Updates.
Du bekommst jedes veraltete Android easy geknackt.

Wenn 2Factor mit einer anderen Mail hinterlegt ist und die ebenfalls mit einem starken und natürlich anderen Passwort gesichert, ist das im Zweifel deutlich besser. Man sollte halt nicht gerade sowas wie GMX nehmen.
Die Wahrscheinlichkeit, dass hier beides geknackt wird ist extrem gering.

Smartphone ist schon deswegen bedenklich, da in den Accounts immer die Nummer hinterlegt ist und man mit stillen SMS das komplette Gerät aushebeln kann, etc... führt hier jetzt aber zu weit.

Jedenfalls wird das mit Smartphone den Leuten mal noch übel auf die Füße fallen, ist aktuell nur "sicherer" als ohne 2Factor, da es für Hacker ein zusätzlicher Aufwand ist.

Nur wird Smartphone dann eben der Hauptangriffspunkt, ist ja klar.

In der Szene wird auch deutlich mehr Geld für solche Accounts verlangt und weniger knacken diese. Im Moment ist das also deutlich besser als ohne, aber das es nur dieses Angebot gibt, empfinde ich wie der TE als ungenügend.

Es gibt Anbieter, die durchaus Mail oder andere Authentificator anbieten.
Bei Booking bekommt man eine SMS geschickt, was ehrlich gesagt auch eher naja ist...

 

[PHuV]

Blöd wirds dann, wenn aus diversen Gründen das Handy nicht vorhanden ist, und man nicht mehr an seine Bankdaten und Co. kommt. Mit E-Mail und Client kann ich mich viel unabhänigiger bewegen, egal welches Gerät dahinter steckt. Eine geräteabhängige Authentifizierung - so gesehen - immer blöde.

 

[Tom_Callaghan]

Eine geräteabhängige Authentifizierung - so gesehen - immer blöde.

Gebe ich dir Recht, läßt mich aber ruhiger schlafen.

 

[gaym0r]

Ist jetzt klar, was ich andeuten wollte?

Mir war klar, dass du darauf hinauswillst. Aber wenn der schon deinen Rechner unter Kontrolle hat, hast du eh ganz andere Sorgen. Und das ist vermutlich der seltenste Fall für den eine 2FA einspringen würde.

 

[norKoeri]

Weil ich fast die gleiche Frage habe, hole ich den Thread nochmal hoch:

PayPal nicht möglich eine 2FA zu erstellen ohne Besitz eines aktiven Handys

PayPal ist bei mir inzwischen der letzte verbliebene Online-Dienst, der noch Codes per SMS verschickt. PayPal verlangt (in ganz selten Fällen) von mir SMS-TAN, obwohl ich bereits eine Authentifizierungs-App (TOTP) eingerichtet habe. Anders formuliert: Richtet man eine Authentifizierungs-App ein, wird das nicht die neue 2FA sondern zur 3FA. Laut PayPal:

Ich habe keine Telefonnummer, die ich in meinem PayPal-Konto hinterlegen kann. Gibt es eine andere Möglichkeit, meine Identität beim Einloggen zu bestätigen? Ja, Sie können auch eine Authentifizierungs-App nutzen.

Offenbar geht inzwischen was der Thread-Ersteller wollte. Oder jene FAQ ist falsch. Weil ich wie der Thread-Ersteller damals meine Authentifizierungs-App einrichtete, folglich eine Handy-Nummer hinterlegen musste: Kann ich bei PayPal irgendwie TOTP ohne auch SMS-OTP nutzen, also z. B. meine Standardnummer löschen?