ComputerBase Menü
Aktuelles

Paypal Mail mit Bitte das Passwort zurück zu setzen.

BmwM3Michi schrieb:
wichtig ist, die Zwei-Faktor-Authentifizierung zu nutzen, habe ich zB bei Paypal per SMS!
Zum Vergrößern anklicken....
Da würde ich zustimmen, allerdings stellt SMS eine eher suboptimale Möglichkeit eines 2FAs da. Ich würde zu einem TOTP Verfahren mit entsprechender App raten.

Viele Grüße
 
cee_en schrieb:
Das ist nichts ungewöhnliches bei PayPal, meist wenn ungewöhnliche Aktivitäten festgestellt worden.
Zum Vergrößern anklicken....
Ist aber eigentlich idiotisch von Paypal. Weil seit Jahren versucht man den User entsprechend zu sensibilisieren. In dem verschiedenste Webdienste wegen Phishing immer wieder als Policy ausgeben: Wir werden Dich niemals wegen Passwörtern usw. fragen. Wenn da was ist, dann -> Red Flag

Und die Benutzer haben das brav gelernt (wie ja auch der vorliegende Fall zeigt).

Und da fängt Paypal dann tatsächlich an, echte Mails zu verschicken so das der User verunsichert ist und nun eben nicht mehr eindeutig klar ist, das solche Dinge Phishing-Versuche sind (wie der vorliegende Fall zeigt).
 
JX666 schrieb:
entsprechender App raten.
Zum Vergrößern anklicken....
Nichts gegen Aegis, aber alternativ mal AuthenticatorPro (geistiger Nachfolger von andOTP [R.I.P.]) anschauen.

Ist FOSS, sieht modern aus (mit hervorragendem Darkmode), läßt sich vielseitig anpassen, kann von einigen anderen Tools importieren und besitzt die Möglichkeit lokale (verschlüsselte) Backups anzulegen.
 
  • Gefällt mir
Reaktionen: Dr. McCoy
Beide sind gut, ich hatte sie vor ca. 12 Monaten mal getestet. Ich blieb aber dann bei Aegis hängen, weil man sich dort den Secret-Key anzeigen lassen kann, falls man sich die Keys nachträglich z.B. in einem Passwort-Manager sichern möchte.
Ja, sicherheitstechnisch ist es nicht toll, die Secret-Keys sich doch wieder auf dem PC zu sichern, aber ich fürchte mich vor der Situation, bei der ich mich irgendwo einloggen muss und mein Handy nicht griffbereit ist (defekt, Akku leer, verloren).
 
Darkman.X schrieb:
Ja, sicherheitstechnisch ist es nicht toll, die Secret-Keys sich doch wieder auf dem PC zu sichern, aber ich fürchte mich vor der Situation, bei der ich mich irgendwo einloggen muss und mein Handy nicht griffbereit ist
Zum Vergrößern anklicken....
Bei AuthenticatorPro mache ich regelmäßige lokale (AES-verschlüsselte) Backups des Telefons, die kann ich auch auf dem Tablet wiederherstellen. So habe ich immer 2 Geräte zur Wahl, recht beruhigend :).
 
mae1cum77 schrieb:
Nichts gegen Aegis, aber alternativ mal AuthenticatorPro (geistiger Nachfolger von andOTP [R.I.P.]) anschauen.

Ist FOSS, sieht modern aus (mit hervorragendem Darkmode), läßt sich vielseitig anpassen, kann von einigen anderen Tools importieren und besitzt die Möglichkeit lokale (verschlüsselte) Backups anzulegen.
Zum Vergrößern anklicken....
Ah cool, vielen Dank für die Verlinkung von Authenticator Pro. Die TOTP App kannte ich bisher noch nicht, sieht aber tatsächlich vielversprechend aus :) Mit Aegis kannst du aber auch verschlüsselte Backups anlegen, vondaher würde ich sagen, dass es nicht unbedingt ein Alleinstellungsmerkmal von Authenticator Pro ist.

Darkman.X schrieb:
Beide sind gut, ich hatte sie vor ca. 12 Monaten mal getestet. Ich blieb aber dann bei Aegis hängen, weil man sich dort den Secret-Key anzeigen lassen kann, falls man sich die Keys nachträglich z.B. in einem Passwort-Manager sichern möchte.
Ja, sicherheitstechnisch ist es nicht toll, die Secret-Keys sich doch wieder auf dem PC zu sichern, aber ich fürchte mich vor der Situation, bei der ich mich irgendwo einloggen muss und mein Handy nicht griffbereit ist (defekt, Akku leer, verloren).
Zum Vergrößern anklicken....
Eventuell habe ich einen Denkfehler, aber wieso machst du nicht einfach ein Backup deiner Aegis Datenbank? Oder hast du mehr Bedenken, dass du dann tatsächlich kein zweites Endgerät (Smartphone, Tablet etc) zur verfügung hast, womit du die Datenbank öffnen/auslesen kannst?

mae1cum77 schrieb:
Bei AuthenticatorPro mache ich regelmäßige lokale (AES-verschlüsselte) Backups des Telefons, die kann ich auch auf dem Tablet wiederherstellen. So habe ich immer 2 Geräte zur Wahl, recht beruhigend :).
Zum Vergrößern anklicken....
Wie meinst du das? Machst du dann von deiner AP Datenbank ein Backup oder von deinem gesamten Telefon?

Viele Grüße
 
  • Gefällt mir
Reaktionen: s1ave77
Das macht tatsächlich auch mehr Sinn :) Full Backup für Phones gibt es auch nicht, oder?
 
  • Gefällt mir
Reaktionen: s1ave77
Das macht Sinn, das geht, könnte ich mir vorstellen, aber nur mit Custom-Roms und/oder TWRP oder?
Nutzt du ein Custom-Rom? :)

Edit: Viel offtopic, sorry :streicheln:
 
Nein, ein per ADB entschlacktes Xiaomi-Original (keine Hersteller Apps in Nutzung). Ist mir zu aufwändig Katz-und-Maus mit Banking-Apps und Co zu spielen, um den Root zu verstecken.

Custom ROM ist nicht zwangsläufig von nöten, gibt oft auch Wege das Original ROM zu rooten (wenn entsperrt und Recovery [TWRP und co.] installiert).
 
andy_m4 schrieb:
Ist aber eigentlich idiotisch von Paypal. Weil seit Jahren versucht man den User entsprechend zu sensibilisieren. In dem verschiedenste Webdienste wegen Phishing immer wieder als Policy ausgeben: Wir werden Dich niemals wegen Passwörtern usw. fragen. Wenn da was ist, dann -> Red Flag
Zum Vergrößern anklicken....

Sollen Sie den User etwa nicht darüber informieren, dass das Passwort aus Sicherheitsgründen geändert werden muss? Ist halt eine vertrackte Situation. Und sie fragen ja nicht nach dem Passwort direkt.
 
cee_en schrieb:
Sollen Sie den User etwa nicht darüber informieren, dass das Passwort aus Sicherheitsgründen geändert werden muss? Ist halt eine vertrackte Situation.
Zum Vergrößern anklicken....
Ja. Die Situation ist vertrackt. Allerdings ist ja auch die Frage, wie es so weit kommen konnte das man das Passwort ändern muss. Kann ja nur sein, wenn das entwendet wurde oder dergleichen. Da hat PayPal wohl anscheinend sein Job nicht gemacht.
Aber wenn man schon Mails verschickt, dann bringt man da keine anklickbaren Links unter, sondern ermuntert den Nutzer sich dort via ihrem eigenen Lesezeichen auf deren Webseite einzuloggen.
Witzigerweise geben die das sogar auf ihrer eigenen(!) Webseite an:
https://www.paypal.com/de/webapps/mpp/paypal-safety-and-security (siehe: Betrügerische E-Mails)
Und dann packen sie aber Links in ihre eigenen Mails?
 
andy_m4 schrieb:
Kann ja nur sein, wenn das entwendet wurde oder dergleichen. Da hat PayPal wohl anscheinend sein Job nicht gemacht.
Zum Vergrößern anklicken....

Das Passwort muss nicht entwendet wurden sein. Und PayPal hat da auch keinen schlechten Job gemacht, oder glaubst du echt, dass PayPal die Passwörter im Klartext speichert? Und für z.B. Loginversuche brauche ich nur eine E-Mail-Adresse und kann dann rumprobieren.

Das die Situation mit der E-Mail nicht ideal ist habe ich ja bereits geschrieben.
 
cee_en schrieb:
Das Passwort muss nicht entwendet wurden sein.
Zum Vergrößern anklicken....
Na dann sag mir doch, was denn das potentielle Problem sein kann.

cee_en schrieb:
Und für z.B. Loginversuche brauche ich nur eine E-Mail-Adresse und kann dann rumprobieren.
Zum Vergrößern anklicken....
Naja. (Erfolglose) Loginversuche allein begründen ja noch keine Passwortänderung.
 
@andy_m4

Da weder du noch ich Einblicke in die Sicherheitsvorkehrungen von PayPal haben werden wir die konkrete Antwort sowieso nicht finden.

Ich kann nur aus eigener Erfahrung sprechen und das mein damals genutztes Passwort entwendet wurde halte ich für sehr unwahrscheinlich.

Aber als Betreiber würde ich erfolglose Loginversuche, die vielleicht noch in sehr kurzer Zeit von verschiedenen IPs und/oder Geräten passieren, schon als Risiko einstufen und dann den User dazu auffordern, dass Passwort zu ändern.
 
cee_en schrieb:
Da weder du noch ich Einblicke in die Sicherheitsvorkehrungen von PayPal haben werden wir die konkrete Antwort sowieso nicht finden.
Zum Vergrößern anklicken....
Dennoch kann man überlegen, was ein triftiger Grund dafür wäre. Wenn einem keiner einfällt und Paypal macht es trotzdem, dann ist das schon mal nicht so gut.

cee_en schrieb:
Aber als Betreiber würde ich erfolglose Loginversuche, die vielleicht noch in sehr kurzer Zeit von verschiedenen IPs und/oder Geräten passieren, schon als Risiko einstufen und dann den User dazu auffordern, dass Passwort zu ändern.
Zum Vergrößern anklicken....
Aus welchem Grund denn?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

elknipso
Google Mail Passwort zurück setzen bei Zugriff über Handy
Antworten
6
Aufrufe
10.715
elknipso
elknipso
SilverStar
Windows 7 Passwort zurück setzen
Antworten
10
Aufrufe
1.526
Insanic
Insanic
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz