Aus meiner Erfahrung mit einer Vielzahl anderer Banking- und Finanzapps kann ich den Vorrednern hier nur zustimmen. Die Implementation der Paypal 2FA auf dem Mobiltelefon unterscheidet sich vom de facto implementiereten Standard der Branche. 2FA dient zur Absicherung gegen unbefugte Accountnutzung / Accountübernahme aus dem Internet. Dabei wird der Hardwaretoken, oder die Authenticator App, also das Handy, als zweiter, sicherer Faktor gesehen. Wenn ich Paypal auf meinem eigenen Handy benutze verstehe ich, dass ich beim initialen Login 2FA- Sicherheitsmaßnahmen duchlaufe. Sobald ich mein Gerät aber als vertrauenswürdig einstufe (wie zB durch Setzen der Präferenz für Face ID) kann bei jeder Benutzung der PAypal App auf diesem Gerät davon ausgegangen werden, dass der zweite Faktor bereits vorliegt, da ein vertrauenswürdiges Gerät genutzt wird. Denn selbst einen 2FA-Code generiere ich ja in der Authenticator-App auf dem gleichen Handy. Daher halte ich die aktuelle Implementierung von Paypal schlicht für falsch, mindestens jedoch vom de Facto Standard aller anderen Apps in der Branche abweichend. Wenn mein Handy kompromittiert wird bringt mir die Abfrage des 2FA-Codes, welcher auf dem gleichen Handy generiert wird keinen zusätzlichen Schutz, das Argument ist daher nichtig. Auf dem eigenen vertrauenswürdigen Gerät ist nach erstmaligem Login mit 2FA-Code der einfache Login per Passkey / Passwort / Face ID ausreichend, eine mehrmalige Abfrage des 2FA-Codes bringt keine zusätzliche Sicherheit. Wir würden uns sehr freuen, wenn Ihr die Implementation entsprechend verbessern könnt.
... View more
