Zwei-Faktor-Authentifizierung auf mobilem Gerät unterbinden, bei aktivem Passkey oder Face-ID

markmcfly
Beitragsleistender
Beitragsleistender

Hallo ich nutze die PayPal App auf dem iPhone mit der Version iOS 17.2.1. Mein Account ist mittels Zwei-Faktor-Authentifizierung abgesichert. Neulich habe ich zusätzlich auch ein Passkey in meinem Account hinterlegt. Nun muss ich trotzdem bei jedem Login meinen 2FA Code eingeben. Ich denke ist nicht das Ziel und sehr Usability unfreundlich. Mein Gerät ist auch als vertrauenswürdig gekennzeichnet. Neinstallation der PayPal-App hat auch kein Erfolg gebracht.
Ich auf Desktop Geräten auf 2FA NICHT verzichten, deswegen sollte das weiterhin aktiviert bleiben, aber auf mobilem Gerät, wie meinem iPhone benötige ich die Zwei-Faktor-Authentifizierung nicht da ich doch andere, Userfreundlichere Sicherheitsprüfungen habe wie z.B. Face-ID und Passkey.

Ich würde mir sehr wünschen, dass dieser Bug bald behoben wird.

Login to Me Too
11 ANTWORTEN 11

PayPal_Clara
Moderator
Moderator

Hallo @markmcfly

 

vielen Dank für deinen Beitrag und willkommen zurück in unserer Community!

Das, was du beschreibst, ist kein Bug. 

Wenn du eine fest Zwei-Faktor-Authentifizierung für deinen Account einrichtest, also dich nicht nur auf den automatisierten Sicherheitsprozess verlässt, erfolgt die entsprechende Prüfung beim Login bei jedem einzelnen Login in deinen Account. Dabei ist es unabhängig, von welchem Gerät aus du dich einloggst oder ob du unsere App oder einen Browser nutzt. Es gibt keine Einstellung, mit der man Logins über bestimmte Geräte oder Login-Optionen von der Prüfung ausschließen kann. Ich kann verstehen, dass das für dich hin und wieder umständlich sein kann. Leider gibt es jedoch keine Möglichkeit dies zu ändern, außer du deaktivierst die feste Zwei-Faktor-Authentifizierung für deinen Account, wozu wir natürlich zur Sicherheit deines Accounts nicht raten würden.

Es tut mir leid, dass ich dir keine andere Lösung anbieten kann.

Liebe Grüße
Clara


Falls diese Antwort hilfreich war, verteile gern einen Kudo oder akzeptiere sie als Lösung. Komm gern wieder vorbei und hilf auch anderen Nutzern!
Login to Me Too

Raegonoth
Beitragsleistender
Beitragsleistender

@PayPal_Clara Ich verstehe, dass die momentane Implementierung des Passkeys so von euch gewollt ist, und daher kein Fehler im direkten Sinn ist. Dennoch muss ich @markmcfly zustimmen, dass es so trotzdem ein Denkfehler ist. (Generell aber großes Lob, dass Ihr Passkeys so früh und schnell implementiert habt, da seid Ihr ja leider einer von wenigen..)
Der grundlegende Vorteil eines Passkeys ist, dass man kein Passwort und keine 2-Faktor mehr benötigt und es dennoch genauso bzw. noch sicherer ist. Daher sollte es entweder so sein, dass ich mein Passwort aus meinem Account entfernen kann und dann auch die 2-Faktor deaktiviere, damit ich nurnoch den Passkey verwende, oder Ihr nehmt euch ein Beispiel an Apple, hier kann ich mich entweder mit Passwort und dann 2-Faktor anmelden, oder Passkey und keine 2-Faktor.
@markmcfly Alle modernen Browser unterstützen die Option, den Passkey via QR-Code sicher übers Handy einzugeben, daher benötigst du auch im Web keine Passwörter und 2-Faktor mehr. 
@PayPal_Clara @markmcfly Hier mal eine Erklärung von Google, wie Passkeys funktionieren: https://developers.google.com/identity/passkeys

Login to Me Too

Raegonoth
Beitragsleistender
Beitragsleistender

Weils auch grade dazu passt, generell noch die Frage, wieso ich mich eigentlich in der App überhaupt nochmal mit 2-Faktor authentifizieren muss, jede andere Banking App lässt ja auch nur Face ID zu, wenn ich das aktiviert habe. Und ich weiß nicht ob ich der einzige bin, aber wenn man den iCloud Schlüsselbund als 2-Faktor verwendet, bekommt es die App nicht hin, das auf einem iPhone direkt einzufügen, geht nur im Browser. Heißt, ich muss entweder dann super umständlich in den Schlüsselbund gehen und den Code händisch eingeben, oder die SMS-2-Faktor verwenden, denn die kann ich automatisch einfügen. Könnte man das bitte auch noch fixen? Vielen Dank schonmal!

Login to Me Too

markmcfly
Beitragsleistender
Beitragsleistender

@Raegonoth Vielen Dank für deinen Beitrag! Ich bin in allen Punkten deiner Meinung. Ich würde mir wünschen, dass der PayPal-Support nicht versucht den aktuellen Status Quo zu rechtfertigen, sondern das Kunden-Feedback sammelt und an die entsprechende UX-/QA- oder IT-Abteilung weitergibt. Wie ich gesehen habe sind wir nicht die Einzigen, die sich deswegen beschweren und eine einfachere Lösung wünschen. 🙂

Login to Me Too

PayPal_Clara
Moderator
Moderator

Hi @Raegonoth und @markmcfly

 

danke für eure Rückmeldungen zu diesem Thema.

Keine Sorge, wir nehmen solches Feedback natürlich auf und leiten es weiter. Nur so kann der Service von PayPal immer weiter verbessert werden. 🙂

Raegonoth, deiner Nachricht entnehme ich, dass du die 2-Faktor-Authentifizierung für deinen Account aktiviert hast, was natürlich als Sicherheitsfaktor super ist. Die Face-ID oder Fingerabdruckprüfung ersetzen beim Login 'nur' das Passwort. Hast du also die 2-Faktor-Authentifizierung aktiv, sollte diese anschließend immer erfolgen. Ich kann verstehen, dass das umständlich ist, aber in diesem Prozess steht die Sicherheit deines Accounts und deiner Daten immer vor der Schnelligkeit beim Login. Ich leite dein Feedback auch dazu aber natürlich gern weiter.

Liebe Grüße
Clara


Falls diese Antwort hilfreich war, verteile gern einen Kudo oder akzeptiere sie als Lösung. Komm gern wieder vorbei und hilf auch anderen Nutzern!
Login to Me Too

TC_77
Beitragsleistender
Beitragsleistender
Hi Clara, ich stimme den anderen Nutzern zu: die Login-Erfahrung bei der App mit Passkey ist mindestens unglücklich gelöst und verwirrend im Vergleich zu Google, Microsoft und allen anderen Plattformbetreibern, bei denen ich bisher einen Passkey einrichten konnte. Ich würde zumindest empfehlen, auf das „vom Standard“ abweichende zu erwartende Login-Verhalten bei Paypal schon bei der Passkey-Einrichtung klar und deutlich hinzuweisen, sprich: Passkey kann Nutzername+Passwort ersetzen // MFA bleibt mit Passkey bestehen, sofern aktiviert. Ich sehe in der Kombination Passkey+MFA aber sogar ein potenzielles Sicherheitsrisiko: Nutzer, welche einen Passkey eingerichtet haben, könnten sich verleiten lassen, den 2. Faktor der MFA zu entfernen, weil es (bei anderen Diensten) unüblich ist, nach Passkey-Login noch die MFA-Abfrage zu bestätigen. (Komfort und Gewohnheit sind als Risikofaktoren nicht zu unterschätzen.) Das Nutzerverhalten sollte zumindest dahingehend beobachtet und analysiert werden. Ich habe für mich und alle Mitleser folgende Überlegungen zu Passkey + MFA KI-gestützt zusammengestellt: +++++ Die Nutzung einer MFA (Multi-Faktor-Authentifizierung) Abfrage nach einer Passkey-Authentifizierung ist in vielen Fällen sinnvoll und kann die Sicherheit erheblich erhöhen. Hier sind einige Gründe, warum dies der Fall sein könnte: 1. **Erhöhte Sicherheit**: Selbst wenn Passkeys als sicher gelten, kann ein zusätzliches MFA-Level das Risiko von unbefugtem Zugriff weiter reduzieren. Dies ist besonders wichtig bei hochsensiblen Daten oder Systemen. 2. **Schutz vor verschiedenen Bedrohungen**: Passkeys bieten Schutz gegen Phishing und andere gängige Angriffe, aber eine zusätzliche MFA-Ebene kann Schutz gegen andere Arten von Angriffen bieten, wie z.B. Angriffe auf die Passkey-Implementierung selbst oder die zugrunde liegenden Systeme. 3. **Compliance-Anforderungen**: In einigen Branchen oder Regionen können regulatorische Anforderungen eine MFA für den Zugang zu bestimmten Systemen oder Daten vorschreiben, unabhängig davon, wie sicher die primäre Authentifizierungsmethode ist. 4. **Benutzerfehler und Social Engineering**: Benutzer können aus verschiedenen Gründen unsichere Praktiken befolgen. Eine zusätzliche MFA-Ebene kann einen zusätzlichen Schutz bieten, falls der Passkey kompromittiert wird. Es ist jedoch auch wichtig zu beachten, dass die Implementierung einer zusätzlichen MFA-Ebene die Benutzererfahrung beeinträchtigen kann. Deshalb sollte eine Risikoabwägung vorgenommen werden, um zu entscheiden, ob der zusätzliche Sicherheitsgewinn die möglichen negativen Auswirkungen auf die Benutzererfahrung rechtfertigt. +++++ Demnach kann die zusätzliche MFA-Hürde bei richtiger Implementierung — zumindest theoretisch — einen zusätzlichen Schutz bieten. Ich persönlich würde bei Passkey jedoch gern auf MFA verzichten, zumindest auf bekannten/autorisierten Geräten. Und/oder FaceID ersetzt MFA, wie bei anderen Banking-Apps. Danke und LG, TC PS: Aktuell ist es bei mir so, dass wenn ich mich einmalig per Passkey in der App angemeldet habe, FaceID in den Einstellungen automatisch aktiviert ist. Das erscheint mir nicht schlüssig. Folgende Anmeldungen verwenden dann automatisch FaceID (+MFA).
Login to Me Too

karlranseier
Beitragsleistender
Beitragsleistender

Die Frage bezog sich nicht auf FaceID sondern auf Passkeys. 

Es sollte, wie schon erwähnt, entweder die Möglichkeit geben, dass Passwort komplett zu löschen wenn man Passkeys einsetzt oder das die 2FA ausschliesslich für die Authentifizierung mittels Passwort verwendet wird.

Ich denke es ist oben schon gut beschrieben, warum das so implementiert sein sollte. 

Login to Me Too

tech_pro
Neues Community Mitglied

Aus meiner Erfahrung mit einer Vielzahl anderer Banking- und Finanzapps kann ich den Vorrednern hier nur zustimmen. Die Implementation der Paypal 2FA auf dem Mobiltelefon unterscheidet sich vom de facto implementiereten Standard der Branche.

2FA dient zur Absicherung gegen unbefugte Accountnutzung / Accountübernahme aus dem Internet. Dabei wird der Hardwaretoken, oder die Authenticator App, also das Handy, als zweiter, sicherer Faktor gesehen.

Wenn ich Paypal auf meinem eigenen Handy benutze verstehe ich, dass ich beim initialen Login 2FA- Sicherheitsmaßnahmen duchlaufe. Sobald ich mein Gerät aber als vertrauenswürdig einstufe (wie zB durch Setzen der Präferenz für Face ID) kann bei jeder Benutzung der PAypal App auf diesem Gerät davon ausgegangen werden, dass der zweite Faktor bereits vorliegt, da ein vertrauenswürdiges Gerät genutzt wird. Denn selbst einen 2FA-Code generiere ich ja in der Authenticator-App auf dem gleichen Handy.
Daher halte ich die aktuelle Implementierung von Paypal schlicht für falsch, mindestens jedoch vom de Facto Standard aller anderen Apps in der Branche abweichend.

Wenn mein Handy kompromittiert wird bringt mir die Abfrage des 2FA-Codes, welcher auf dem gleichen Handy generiert wird keinen zusätzlichen Schutz, das Argument ist daher nichtig.
Auf dem eigenen vertrauenswürdigen Gerät ist nach erstmaligem Login mit 2FA-Code der einfache Login per Passkey / Passwort / Face ID ausreichend, eine mehrmalige Abfrage des 2FA-Codes bringt keine zusätzliche Sicherheit. Wir würden uns sehr freuen, wenn Ihr die Implementation entsprechend verbessern könnt.

Login to Me Too

Amminger
Neues Community Mitglied

100% Zustimmung.
Ich habe mich schon gewundert ob ich PassKey bei PayPal falsch eingerichtet habe weil trotz PassKey und FaceID und Gerät als Vertrauenswürdig eingestuft ich immer noch die umständliche 2FA durchlaufen muss. 
Generell finde ich ja das Sicherheitsbedenken von PayPal begrüßentswert aber das ist jetzt doch etwas nervig.

Login to Me Too

Haven't Found your Answer?

It happens. Hit the "Login to Ask the community" button to create a question for the PayPal community.