La sicurezza 2FA di Paypal è davvero così brutta? [chiuso]

Naviga le tue risposte
0

Sono ormai un esperto in questo campo, o anche esperto, ma se è possibile farlo, non riesco a capire come Paypal lo consente.

Supponiamo di aver attivato l'autenticazione a 2 fattori, con l'impostazione del telefono come dispositivo.

Perdi il telefono e qualcuno lo trova. Aprono rapidamente l'e-mail, vedono che hai un account Paypal, decidono di accedervi.

Vanno su Paypal, fai clic su "password dimenticata". Paypal offre alcune opzioni per confermare che sei il proprietario:

  • invitali a chiamarti
  • rispondere alle domande di sicurezza
  • ricevere un SMS con un codice di conferma

La persona ha già il tuo telefono, scelgono l'opzione SMS. Ricevono il testo SMS con il codice, reimpostano la password e sono in.

Davvero? Questo è tutto? Perdere il telefono che usi per 2 Factor Authentication significa sostanzialmente che puoi avere un estraneo nel tuo account se lo trova?

Questo è così palesemente stupido ... Nel caso in cui si voglia reimpostare la password, si dovrebbe sempre porre delle domande, non importa se hanno ottenuto o meno il dispositivo 2 FA.

    
posta Alex 06.04.2018 - 13:14
fonte

2 risposte

3

Sì, lo è. Se hai le e-mail non protette sul telefono e utilizzi il telefono come secondo fattore, in realtà il tuo telefono diventa l'unico fattore. Quindi utilizza un PIN per proteggere il tuo telefono e crittografarlo o non utilizzare affatto il telefono.

Oppure dovresti avere alcune misure predefinite per il caso se perdi il telefono (come reimpostare la tua password di posta elettronica, in modo che il tuo telefono non riceverà più alcuna email).

Molti anni fa paypal ha fornito un token hardware come 2fa. Ho uno per un account e va bene. Il problema è: non lo fanno più. Il prossimo problema è che paypal ha ovviamente un cattivo gateway SMS. A volte ci vogliono secoli per il messaggio di testo. A male, se vuoi "velocemente" inviare un po 'di soldi.

    
risposta data 06.04.2018 - 13:49
fonte
0

Really? That's it? Losing the phone you use for 2 Factor Authentication basically means you can have a stranger quickly go into your account if they find it?

Il telefono è il secondo fattore e ha accesso agli altri fattori.

Non hai il tipo di PIN, password, ID viso, touch ID o altro meccanismo di blocco sul telefono è il problema che stai affrontando. Se intendi utilizzare il tuo telefono come dispositivo di sicurezza, trattalo come un dispositivo di sicurezza . Usa un lucchetto.

Anche senza PayPal 2FA (e qualsiasi altro), hai molti e vari problemi se qualcuno può trovare il tuo telefono, sbloccarlo facilmente (o non avere alcun blocco) e recuperare la tua email: ogni sito che consente la reimpostazione della password basata su e-mail è ora disponibile per il finder, e uno shopping spree su Amazon o simili sarebbe un facile passo successivo.

    
risposta data 08.04.2018 - 07:40
fonte

Leggi altre domande sui tag

Quali sono le vulnerabilità più comuni per i dispositivi IoT di scarsa qualità? [chiuso] Perché lo scanner di impronte digitali non funziona dopo il riavvio su telefoni Mi?