Paypal Zwei-Faktor-Autorisierung Sinnfrei?

[Relak]

Hallo,

Ich habe mir vor kurzem ein Spiel bei Steam gekauft und wollte mit Paypal bezahlen. Paypal hat nach dem Login im Popup-Fenster von Steam einen Sicherheitscode der 2FA abgefragt. So weit so gut. Jetzt war in meinem Paypal Konto noch meine alte Handynummer hinterlegt. Ich dachte mir "So ein Mist! Jetzt muss ich die alte SIM suchen."

Aus lauter Faulheit habe ich dann aus Spass versucht meine Handynummer zu ändern. Und das ging... Einfach so. Neue Nummer rein, Besätigungscode für die neue Nummer auf die neue Nummer schicken lassen, eingeben, shoppen.

Irre ich mich oder sollte das so eben nicht gehen? Wo ist der Sinn einer 2FA wenn ich die Rufnummer einfach so ändern kann? Da kam nicht mal ein Code per Mail oder so. Da könnte ich ja ein anderes Passworts haben als bei Paypal. Oder eine Ausweiskopie oder sonstiges um mich halbwegs zu legitimieren. Sobald jemand also meine Login Daten hat, habe ich verschissen? Soll das so sein?

Grüße

Relak

 

[Nilson]

Wars du auf den Gerät schon mal angemeldet? Bei der Anmeldung kann man das Gerät als "vertrauenswürdig" festlegen. Dann braucht man beim nächsten mal die 2FA nicht.

 

[Serana]

Aus dem Grund sollte man genau überlegen welche Geräte man als vertrauenswürdig deklariert. Ich muß (ganz bewußt) selbst auf meinem PC das OTP eingeben. 2FA ist kein magisches "Jetzt kann nichts mehr passieren"-Amulett. Es soll lediglich dafür sorgen, daß jemand der zufällig dein Passwort hat eben auch noch den zweiten Faktor braucht der im Allgemeinen auf dem Smartphone generiert wird. Es hindert dich aber niemand daran das System auszuhebeln, indem du alle möglichen und unmöglichen Geräte für sicher erklärst.

Aus lauter Faulheit habe ich dann aus Spass versucht meine Handynummer zu ändern. Und das ging... Einfach so. Neue Nummer rein, Besätigungscode für die neue Nummer auf die neue Nummer schicken lassen, eingeben, shoppen.

Dann hast du vermutlich deinen PC (oder das Gerät von dem aus du die Änderung gemacht hast) vorher bei Paypal als vertrauenswürdig deklariert. Dann funktioniert das natürlich.

Nachtrag:
Übrigens kann sich die Angabe einer mittlerweile toten Rufnummer auch böse rächen. Wenn nämlich z.B. durch Neuinstallation des Computers plötzlich kein für vertrauenswürdig erklärtes Gerät mehr existiert und man sich dann in den Account einloggen will verlangt das System das OTP. Kommt man dann aus irgendwelchen Gründen nicht mehr an die Rufnummer hat man ein Problem. Was ist wenn man die SIM-Karte nicht mehr finden kann oder die Rufnummer wurde vom Provider wegen mangelnder Nutzung zurückgezogen? Wer so mit 2FA umgeht weiß meist auch nicht wo eventuelle Sicherheitscodes zu finden sind (bzw. hat sie gar nicht erst gesichert) um sie zu umgehen.

Wenn man 2FA einrichtet, dann sollte man sie auch tatsächlich nutzen. Ansonsten kann es durchaus sein, daß man MIT 2FA schlimmer dran ist als ohne.

 

[Relak]

Wars du auf den Gerät schon mal angemeldet?

Meinst du mit dem Rechner? Ja. Das Popup Fenster kam von Steam. Und da wollte PP auch ganz normal meine Login Daten. Ich nehme mal an es ist PP dann egal mit welchem Browser man sich einloggt, solange der Rechner der selbe ist?
Warum aber fragt er überhaupt erst nachdem 2FA wenn es sich doch um ein vertrautes Gerät handelt? Ein bisschen größere Stoplersteine beim Wechsel der Rufnummer sollte es mMn. trotzdem geben. Immerhin wird mit PP bezahlt und es sind Konten hinterlegt. Da ist die Sparkasse bei ihrem Onlinebanking penetranter. Und das ist auch gut so.

 

[kachiri]

Warum aber fragt er überhaupt erst nachdem 2FA wenn es sich doch um ein vertrautes Gerät handelt?

Weil Person X davor sitzt? Also im Zweifel nicht du. Solange die Person nicht auf die Idee kommt, zu versuchen, einfach mal die Nummer zu ändern, ist man ja trotzdem geschützt. Also hat das schon einen sicherheitsrelevanten Aspekt, dass man eine Zahlung ggfs. via 2FA noch legitimieren muss.

 

[Serana]

Warum aber fragt er überhaupt erst nachdem 2FA wenn es sich doch um ein vertrautes Gerät handelt?

Du hast vermutlich nur gegenüber Paypal gesagt, daß es sich um ein vertrauenswürdiges Gerät handelt, aber eben nicht gegenüber Steam. Deshalb fragt Steam nach dem OTP und Paypal nicht.

2FA erzwingt vom Nutzer kein sicherheitsbewußtes Verhalten. Sie hilft ihm nur dabei für etwas mehr Sicherheit zu sorgen wenn er das auch will. Wenn der Nutzer aber diese Sicherheit zugunsten seiner Bequemlichkeit bewußt aufgibt, dann ist das eben so. Die Sparkasse macht es insofern anders als sie dich zu einem gewissen sicherheitsbewußten Verhalten zwingt.

 

[Ray519]

Was verteidigt ihr denn Paypal so hart? Ja die untergraben ein Stück weit ihr 2FA damit, dass sie Handynummern ohne 2FA ändern lassen, das halte ich für eher ungewöhnlich.

Auf der anderen Seite erspart das vermutlich einen Haufen Support für Kunden die sich selbst aussperren weil sie keinen Zugriff mehr auf ihre alte Handy-Nummer haben.
Aber offensichtlich gehört es nicht zu Paypals Threat-Model, das ein Angreifer Kontrolle über einen "vertrauten" Webclient hat.

Edit:
Wenn Sie Sicherheit richtig ernst nehmen würden, würde ich mindestens erwarten, dass sie beim Anhaken von "Diesem Gerät in Zukunft vertrauen" dick warnen, dass das auch 2FA an anderen Stellen aushebelt, damit Nutzer wenigstens eine informierte Entscheidung treffen können, aber das verwirrt vermutlich wieder mehr Leute....

 

[kachiri]

Ja die untergraben ein Stück weit ihr 2FA damit, dass sie Handynummern ohne 2FA ändern lassen, das halte ich für eher ungewöhnlich.

Kommt sicher auf die Konfiguration an. Wenn ich nur eine Handynummer als 2FA hinterlegt habe, wäre es ja höchst ungünstig, wenn ich diese nicht mehr ändern kann, wenn die alte Nummer futsch ist

Nvm. Du sprichst es ja an.
Grundsätzlich hat man ja die Möglichkeit mehrere Sachen anzubieten und sicher gibt es irgendwo auch die Einstellung, dass wenn 2 Merkmale für 2FA angegeben sind - z.B. SMS und App - bei einer Änderung auch wieder ein Merkmal zwingend notwendig ist.

Grundsätzlich macht das aber wie gesagt schon Sinn. Ein sicheres Gerät ist halt ein sicheres Gerät. Das ist ja ein wenig die Bequemlichkeit, die ich mir einrichte.

 

[Ray519]

Der klassische Weg ist doch: Sie geben einem Recovery-Codes beim Einrichten von 2FA und warnen, dass wenn man Zugriff auf 2FA verliert, diese Recovery-Codes braucht, sonst verliert man das Konto.

Das sperrt natürlich eine signifikante Menge von Nutzern aus, die den Text nicht lesen und die Codes nicht aufheben (ich habe so Spezialisten in der Verwandschaft).
Dann sollten sie aber mindestens über eine Backup-Methode dennoch 2FA betreiben. Wie zB eine 2. Nummer, Mail, Sicherheitsfrage etc.

 

[Serana]

Was verteidigt ihr denn Paypal so hart?

Es geht hier nicht darum Paypal zu verteidigen. Es geht einfach darum, daß manche Nutzer anscheinend Schwierigkeiten haben zu verstehen, daß auch die 2FA kein magisches Sicherheitsamulett ist welches einen vor dem eigenen Verhalten schützt.

Ich halte es einfach für grob fahrlässig die 2FA ausgerechnet für den Paypal-Account auszuhebeln. Und genau das hat der TE offensichtlich mehr oder weniger bewußt gemacht. Für eigenes Risikoverhalten kann man meiner Ansicht nach Paypal nicht verantwortlich machen.

 

[Ray519]

Na klar muss der Nutzer da auch immer noch mitdenken und hat durch das Vertrauen auch selbst ein wenig Sicherheit ausgehebelt.

Dennoch würde ich es als etablierten Standard betrachten, dass vor dem Ändern der 2FA Methode die alte 2FA-Methode nochmal abgefragt wird, oder man durch einen speziellen Recovery-Prozess muss.
Das kenne ich auch so von anderen Anbietern.

Ich hätte jetzt auch nicht erwartet, dass das "Vertrauen" des Gerätes so umfangreich ist und ich würde Wetten, dass das bei Google und Microsoft zB nicht der Fall ist, wo man ja auch 2FA für zukünftige Anmeldungen auf dem selben Gerät ausschalten kann.

Ergänzung (21. August 2021)

Ok, nehme ich zurück. Auch Google lässt mich auf autorisierten Geräten ohne 2FA eine neue 2FA-methode hinzufügen...
Schade, hier hätte ich mehr erwartet.

 

[kachiri]

Ok, nehme ich zurück. Auch Google lässt mich auf autorisierten Geräten ohne 2FA eine neue 2FA-methode hinzufügen...
Schade, hier hätte ich mehr erwartet.

Warum? Die Funktion "vertrauenswürdige Geräte" soll ja genau das schaffen. Dafür ist diese Funktion da und davor warnen die Anbieter in der Regel auch. Sprich: Möglichst keine und wenn vielleicht nur eines bei dem man sicher ist, dass man nur selbst Zugriff hat...

Im Prinzip sage ich mit der Festlegung als vertrauenswürdiges Gerät: "Auf dieses Gerät habe nur ich Zugriff, deshalb brauchst du mich gar nicht erst nach einen zweiten Authentifizierungsfaktor fragen. Egal was ich mache."

Sprich, dass "vertrauenswürdige Gerät" wird direkt auf Stufe 2 der Sicherheit gestellt. Stufe 1 ist das Passwort, Stufe 2 kann sein der SMS-Code, die E-Mail, der Anruf, die App-Authentifizierung über ein zweites Gerät oder eben das vertrauenswürdige Gerät. Die dritte Stufe ist quasi ein persönliches Merkmal wie Stimme oder Fingerabdruck.

https://www.paypal.com/de/webapps/mpp/psd2-biz

Wunderbar erklärt. Wie gesagt: Die Funktion soll die 2FA bewusst aushebeln.
So erklärt es auch Microsoft:

Wenn Sie Ihren Computer zu einem vertrauenswürdigen Gerät machen, müssen Sie nicht jedes Mal, wenn Sie versuchen, auf vertrauliche Informationen zuzugreifen, wie Kreditkarteninformationen, die mit Ihrem Microsoft-Konto verknüpft sind, einen Sicherheitscode eingeben.

Wenn Sie Ihren Computer als vertrauenswürdiges Gerät festlegen, kann dies hilfreich sein, wenn Sie es häufig verwenden, wenn die über Prüfung in zwei Schritten aktiviert ist, oder wenn Sie die Microsoft Authenticator-App zur Anmeldung verwenden.

https://support.microsoft.com/de-de...ft-konto-fe3860c8-bc04-9770-e218-b4fd6b767f4b

Ist also normales Verhalten.

 

[Relak]

Wo finde ich denn bei PP die vertrauenswürdigen Geräte? Und wie wird das als vertrauenswürdig markiert? Cookies? Das würde erklären warum er über Steam nach der 2FA gefragt hat. Ich hab mal eben in den Einstellungen bei PP geschaut und diese Liste hier gefunden. Die Infos sind schon etwas spärlich. Schön wäre es schon wenn man da ein paar mehr Infos bekommt welches Gerät als Vertrauenswürdig eingestuft wird und welches nicht.

Wenn ich jetzt alle Geräte aus der Liste entferne, müsste PP ja wieder nach fragen. Ich werde auch mal gegen Checken ob ich die Nummer einfach so von einem anderen Gerät aus ändern kann, welches noch nicht bei PP eingeloggt war. Dann hat sich meine Verwunderung über die 2FA auch erledigt. Vielen Dank an alle
Die Geschichte mit den vertrauenswürdigen Geräten war mir so noch nicht bekannt (zumindest nicht dass sich sowas auch auf die 2FA auswirken kann).

Ich halte es einfach für grob fahrlässig die 2FA ausgerechnet für den Paypal-Account auszuhebeln.

Erläutere mir bitte genauer wie ich die 2FA ausgehebelt habe? Ich habe lediglich meine Nummer geändert, was ohnehin irgendwann passiert wäre. Leider hab ich nicht immer auf dem Schirm wo ich in den letzten 10 Jahren meine Handynummer so alles rein getippt habe. Aushebeln würde ich das aber nicht nennen.

 

[Ray519]

Sprich, dass "vertrauenswürdige Gerät" wird direkt auf Stufe 2 der Sicherheit gestellt. Stufe 1 ist das Passwort, Stufe 2 kann sein der SMS-Code, die E-Mail, der Anruf, die App-Authentifizierung über ein zweites Gerät oder eben das vertrauenswürdige Gerät. Die dritte Stufe ist quasi ein persönliches Merkmal wie Stimme oder Fingerabdruck.

Nur am Beispiel Google:
Selbst auf einem auf diese Weise vertrauten PC, will Google explizit nochmal das Passwort wenn du in die Sicherheitseinstellungen gehst. Genauso wie man zB auf Android den Entsperrcode eintippen muss, bevor man ihn ändern / entfernen / das Gerät löschen darf, auch wenn das Gerät eigentlich schon entsperrt war (auch zB mit "vertraute Orte").
Das zeigt doch, das die Anbieter diese Sicherheitseinstellungen durchaus ein wenig separat betrachten von dem, was Vertraute Geräte bewirken und das sie eben nicht dieses Vertrauen pauschal auf alle Interaktionen anwenden.

Ich hätte schlicht erwartet, das dieser Check ebenfalls 2FA beinhaltet, insbesondere wenn man Einstellungen wie 2FA ändert.

 

[Serana]

Erläutere mir bitte genauer wie ich die 2FA ausgehebelt habe?

Das bezog sich nicht auf die Nummer, sondern darauf, die 2FA für den Paypal-Account auszuhebeln indem du das entsprechende Gerät (vermutlich deinen PC) für vertrauenswürdig erklärt hast. Deshalb konntest du dich ja in Paypal einloggen um die Nummer zu ändern ohne nach dem OTP gefragt zu werden.

Bei einem wirklich wichtigen Account sollte man meiner Ansicht nach die 2FA niemals ausschalten, auch nicht auf Geräten die man für vertrauenswürdig hält.

 

[kachiri]

Selbst auf einem auf diese Weise vertrauten PC, will Google explizit nochmal das Passwort wenn du in die Sicherheitseinstellungen gehst

Das Passwort, ja. Aber mehr auch nicht. Das schützt im Zweifel ja auch nicht, weil die erste Stufe (das Passwort) ja bereits übersprungen ist, um in die Sicherheitseinstellungen zu kommen.

Schlussfolgerung sollte sein: Die Funktion "verifizierte Geräte" sollte man spärlich nutzen und im Idealfall gar nicht, weil man damit Sicherheitsmechanismen aushebelt. Eigentlich kann man nie(!) so sicher sein, dass ein Gerät nicht in die Hände eines Dritten fällt oder durch Dritte genutzt wird. Man spart sich ja nicht einmal einen großen Aufwand. Das ist reine Bequemlichkeit.