Alle die von der MAC Adresse geredet haben kannst direkt ignorieren weil die von der Materie offensichtlich nichts verstehen und nur in den Thread gekommen sind um zur Schau zu stellen wie konform sie doch sind und nichts zu verbergen haben.
Die MAC Randomization macht nichts weil weder Website noch Internetanbieter die überhaupt zu Gesicht bekommen. Andererseits nützt sie auch nichts, zumindest so lang der Rechner in deinem lokalen Netzwerk sitzt.
Im modernen shittified Web reicht es leider nicht wenn man seine Mail und sein drölfzig Stellen langes Passwort kennt und auf Anhieb richtig eingibt und das ganze noch mit einem 2FA Code bestätigt.
Nein, der wichtigste Faktor für den Anbieter ist die
"Vertrauenswürdigkeit" deines Geräts. Das steht nirgendwo, den Wert kannst du nicht einsehen und du hast auch keinen direkten Einfluss darauf. Das ist ein unsichtbarer Mechanismus der dazu dient dich zu diskriminieren. Wenn deine Vertrauenswürdigkeit zu niedrig ist dann kommst du nicht rein. Das wird dir aber nicht gesagt sondern du wirst angelogen dass deine Zugangsdaten falsch seien, ein "Fehler ist aufgetreten" oder "Das hat leider nicht geklappt".
Warum das ganze? Weil manche Leute zu dumm sind ein Passwort zu wählen das nicht Kosename + Geburtsdatum des Partners ist und sie schon auf Chatseiten zur Jahrtausendwende verwendet haben. Oder ohne nachzudenken auf Links in Spam-Mail klicken. Denen werden ständig die Accounts gekapert und verursachen dann hohe Support-Kosten.
Um es dieser Gruppe von Nichtsnutzen möglichst bequem zu machen hat die Industrie sich weitgehend entschieden einfach die Internetbewegungen aller Nutzer nachzuverfolgen und dich und die Merkmale deines Geräts mit einer undurchsichtigen Heuristik zu bewerten.
Die niedrige Vertrauenswürdigkeit lässt vermuten dass du ein Hacker bist der gerade versucht in Accounts einzudringen. Dass du dein Passwort und 2FA-Code kanntest beweist nicht etwa das du der legitime Besitzer des Accounts bist sondern zeigt nur dass dein Passwort kompromitiert ist und darum wird der Account unverzüglich gesperrt.
Klar war den Entwicklern bewusst dass es sich um einen Irrtum handeln könnte. Das wird aber in Kauf genommen. Wenn du auf deine Privatsphäre und Sicherheit achtest bist du eh kein besonders wertvoller Nutzer. (Es sollte einleuchten dass die gleichen Leute die am wahrscheinlichsten auf Spam-Mails hereinfallen auch am häufigsten auf Werbung klicken).
Was PayPal dir eigentlich sagen möchte: Du bist ein Mensch 2ter Klasse und wir können dich als Kunden entbehren. Wenn du doch Kunde bleiben möchtest dann zieh die Hose aus und zeig mal was du hast.
Kommen wir mal wieder zum Technischen.
Was kannst du tun um deine Vertrauenswürdigkeit zu verbessern?
- NoScript dürfte am ehesten Probleme machen. Damit blockierst du die Scripte die deinen Browser analysieren sollen komplett. Wenn die Seite überhaupt funktioniert, dann fehlen diverse Daten in den Anfragen deines Browsers. Das sieht für die Seite direkt so aus als ob du ein Hacker bist der gerade rumprobiert wie er die Erkennung umgehen kann.
- Cookies löschen ist böse. Man sollte sich klar machen dass es auch sinnfrei ist die Cookies von z.B. paypal.com zu löschen wenn man jedes mal wenn man die Seite benutzt sich eh mit seinem Account anmeldet. Ein gut gepflegtes, lange Zeit erhaltenes Cookie bürgt quasi für deinen Computer weil ein Hacker da kaum drankommen kann, selbst wenn du auf Spam-Mails hereinfällst
- Maximal einen, gut gepflegten Adblocker. Empfehlung zweifellos uBlock Origin
- Custom rules in uBlock Origin / uMatrix sind böse, personal firewalls haben ähnlichen Effekt
- Linux ist böse, Windows ist gut (User-Agent ändern reicht nicht, die Seiten machen heutzutage TCP/TLS-Stack-Fingerprinting und ein User-Agent der nicht zum Fingerprint passt ist erst recht verdächtig!)
- Mehrere Browser sind böse
- Deaktivierte Browser-Schnittstellen wie WebAudio oder WebGL sind böse, weil die Schnittstellen wie sau Metadaten leaken mit denen man dein Gerät auch ohne Cookies recht zuverlässig wiedererkennen kann
- VMs bzw. Geräte ohne GPU sind böse, können die Seiten über besagte Browser-Schnittstellen ermitteln
- VPN ist böse, insbesondere mit Standort/GeoIP im Ausland
- IP mit schlechter Reputation sind böse, allen voran Tor, aber auch bekannte Proxies oder IPs die zu Rechenzentren gehören und nicht zu privaten Internetanbietern
Es gibt keine universelle Lösung. Manche Seiten sperren z.B. allein anhand der IP-Adresse bzw. dessen Reputation und GeoIP. Da muss man dann einfach die richtige Hautfarbe...
hust ich meine im richtigen Staat wohnen und hoffen dass die ihre GeoIP-Datenbank aktuell halten. Andere Seiten berechnen eine Bewertung aus einer beliebigen Kombination von Merkmalen. Da muss dann vielleicht kein "perfektes" Ergebnis herauskommen aber es muss eben genug stimmen.
Beispielsweise sind meine Eltern bei einem jungen lokalen Glasfaseranbieter. Dessen IP-Adressen haben eine schlechte Reputation weil sie vorher zu einem Rechenzentrum gehörten. Versuche ich mich von dort mit meinem Linux-Laptop auf kleinanzeigen.de einzuloggen erhalte ich eine klassiche Webserver-Fehlerseite dass meine IP-Adresse wegen ungewöhnlicher Netzwerkaktivitäten vorübergehend gesperrt sei. Von einem Windows-Gerät aus mit dem gleichen Account kein Problem. Mit dem Linux-Laptop von meinem Telekom-Anschluss aus ebenfalls kein Problem => Ergo, erst die Kombination aus mittelmäßiger IP + Linux macht mich zu einem dreckigen Hacker.