Juni
22
2007
16:26
Kategorie:
Post Meta:

PayPal SecurityToken

PayPal bietet als zukünftige Bank ab sofort ein neues Zweifaktoren-Authentifizierungs-Modell mittels Passwort/Token an. Die Nutzung ist freiwillig, bietet dem User aber einige Sicherheitsvorteile!

Die Verbindung der 2 Authentifizierungsverfahren

  1. Authentifizierung durch Wissen (das bisherige Passwort)
  2. Authentifizierung durch Besitz (der neue Token)

 

stellt einen hohen Grad an Sicherheit dar, der bereits im Geschäftsbereich beim Einsatz von RSA SecurID Karten zur Einwahl ins Firmen-Intranet geschätzt wird. Alleinige Kenntnis des Passworts durch Ausspähen o.ä. reicht nicht mehr aus, um sich rechtmäßig zu authentifizieren und bei PayPal einzuloggen. Der Token in Form eines Schlüsselanhängers generiert zyklisch neue Zahlen, die per Knopfdruck auf dem Display des Tokens dargestellt werden und nur (!!!) vom PayPal-Server vorhersagbar sind. Dieser Zahlencode ist 30 Sekunden lang gültig, ein weiterer Knopfdruck am Token veranlasst eine erneute Zahlengenerierung.

 

Wie funktioniert nun der Login?

Ganz einfach. Der generierte Zahlencode wird einfach im Login-Screen an das Passwort angehängt. Cleverer Vorteil dieser Variante: nach außen hin ist nicht erkennbar, ob der Code zum Passwort gehört und lediglich eine passwortbasierte Authentifikation genutzt wird, oder ob der User das neue Zweifaktoren-Login nutzt. Sicher ein schwaches Feature für jeden IT-Sicherheitsexperten, wenn man bedenkt, dass bereits nach dem 2. Login klar wird, was Sache ist. Dennoch nicht unsinnig und praktisch ohnehin, man spart sich einen Tab/Mausklick zum nächsten Formularfeld.

 

Was hat das Ganze jetzt mit eBay zu tun?

Da PayPal und eBay kooperieren, kann bei der Einrichtung des Tokens gewählt werden, für welchen Account der Token verwendet werden soll. PayPal, eBay oder beide.

 

Und wieviel muss ich jetzt für die erhöhte Sicherheit löhnen?

Einmalige (!) 4,95€ werden fällig. Keine Versandkosten, keine monatl. Gebühren. Der Betrag wird einfach vom Paypal-Konto des Users abgezogen und 1-2 Wochen später liegt der Security-Token im Postfach.

 

Mein Fazit:

Sehr, sehr nettes Feature, dass ich unbedingt ausprobieren/haben muss. Die erhöhte Sicherheit liegt mir dabei weniger am Herzen als der hohe Geek-Faktor und der Spaß an angewandter Kryptographie. Dennoch ist der Sinn dieses Systems nicht von der Hand zu weisen.

Sicherheitsschlüssel bei PayPal anfordern

« Thumbnails für DNG im Vista-Explorer
Binary marble adding machine »