PayPal: Zwei-Faktor-Authentifizierung für mehr Sicherheit?
Die Zwei-Faktor-Authentifizierung soll als ein zusätzlicher Schutz fungieren und dafür sorgen, dass Dritte nicht auf das eigene Konto zugreifen können, selbst wenn sie Nutzernamen und Passwort ihres Opfers kennen. PayPal nennt die Methode „Sicherheitsschlüssel“. Die Nutzer des Dienstes haben zwei Möglichkeiten ihn zu nutzen: Entweder sie lassen sich für jeden Login-Vorgang einen Pin per SMS zuschicken, oder sie erwerben einen kreditkartengroßen Hardware-Schlüssel von PayPal.
Was letztlich für mehr Sicherheit sorgen soll, scheint von der eBay-Tochter jedoch nicht konsequent umgesetzt worden zu sein. Derzeit unterstützen die iOS- und Android-Apps den „Sicherheitsschlüssel“ nicht. Aktiviert ein Nutzer also die Zwei-Faktor-Authentifizierung, ist es ihm nicht möglich, sich über die Apps bei PayPal anzumelden. Dabei ist die Vorgehensweise, von dem fehlenden Feature der App abgesehen, eigentlich sinnvoll. Die Umsetzung jedoch hat ihre Tücken.
PayPal: Zwei-Faktor-Authentifizierung konnte umgangen werden
Wie Sicherheitsexperten von Duo Security, einem Anbieter eigener Lösungen zur Zwei-Faktor-Authentifizierung, herausgefunden haben, lässt sich der „Sicherheitsschlüssel“ vollständig umgehen. Laut Duo Security teilt der PayPal-Server der App mit, ob bei einem Account die Zwei-Faktor-Authentifizierung aktiviert wurde oder nicht. Ein Angreifer kann diese vom Server gesendete Antwort vergleichsweise einfach manipulieren, wodurch die App annimmt, das Konto wäre nicht durch den „Sicherheitsschlüssel“ geschützt.
Anschließend, so das Team von Duo Security, war es ihnen möglich sich nur mit dem Nutzernamen und dem Passwort bei PayPal anzumelden und sogar Transaktionen durchzuführen. Mittlerweile hat PayPal allerdings reagiert und scheint die Sicherheitslücke geschlossen zu haben. In einem Statement gegenüber t3n heißt es:
„Über das PayPal Bug Bounty Programm sind wir kürzlich auf einen möglichen Weg hingewiesen worden, die Zwei-Faktor-Authentifizierung (2FA) beim Login-Prozess für eine kleine Zahl unserer mobilen Produkte zu umgehen. Wir möchten unterstreichen, dass alle PayPal-Konten sicher bleiben. Die ermittelte Umgehung bezog sich auf eine zusätzliche Sicherheitsstufe, die einige unserer Kunden ihrem Konto hinzugefügt haben. Die Umgehung wurde direkt an PayPal gemeldet, bevor diese öffentlich gemacht wurde. Als eine Vorsichtsmaßnahme hat PayPal für Kunden, die 2FA gewählt haben, um sich in ihr Konto einzuloggen, vorübergehend die Möglichkeit des Einloggens in ihr PayPal-Konto über die PayPal-App und bestimmte andere mobile Applikationen deaktiviert, bis in Kürze ein Fix implementiert werden kann. Wir bedauern die Unannehmlichkeiten, die hieraus für unsere Kunden entstehen, jedoch hat deren Sicherheit für uns höchste Priorität.“
Wer wissen möchte, wie er das eigentlich sehr sinnvolle Sicherheitsfeature bei verschiedenen Web-Diensten aktivieren kann, sollte einen Blick auf unseren Artikel „Jede Hürde zählt: So setzt du die Zwei-Faktor-Authentifizierung bei großen Webseiten ein“ werfen.
Hallo, ihr habt nicht gut recherchiert.
Man kann sehr wohl 2FA unter IOS nutzen.
Und man benötigt nicht zwingend diese Schlüssel-Hardware.
Man brauch die Symantec-VIP-Access app und muss sein Konto entsprechend dafür einrichten.
Dann kann man in Apps immer im Schema:
sich einloggen.
Die Anleitungen dazu lass ich euch suchen. :P
So oder so ist die Two-Factor-Auth nur freiwillig und damit kein echter Schutz. Der Kunde hat wenig Interesse daran diese Methode zu nutzen weil er das Geld im Zweifelsfall ohnehin zurückerstattet bekommt wenn ihm jemand das Konto ausräumt.
Der Dumme ist meistens der Händler welcher das Geld wieder entzogen bekommt obwohl der die Ware geliefert hat.
Auf Anfrage bei PayPal heisst es: „Leider haben Sie derzeit keine Möglichkeit sich effektiv vor PayPal-Betrügern zu schützen.“