Ja, du kan kringgå PayPal: s inloggning för säkerhetskod

Prova Vårt Instrument För Att Eliminera Problem

När jag märkte ett obehörig betalning gjord med min PayPal konto 2008 beställde jag omedelbart en VeriSign Identity Protection-enhet för att lägga till ett andra lager av skydd till inloggningsprocessen på webbplatsen. I stället för att logga in på PayPal med e-postadressen och lösenordet uppmanas jag nu att ange en säkerhetskod som genereras av enheten ovanpå det. Koden som genereras av enheten är högst 30 sekunder, varefter den automatiskt ogiltigförklaras.

Det är i teorin tillräckligt för att skydda kontot från keyloggers, trojaner och till och med någon som tittar över axeln medan du loggar in på PayPal. Det finns två frågor som måste tas upp. Först, vad händer när du tappar åtkomst till skyddsanordningen? Hur kan du logga in på PayPal då? För det andra, vad händer om du glömmer ditt lösenord?

En ny artikel om Naken säkerhet - bra blogg förresten - belyser en potentiell brist i systemet. När du glömmer ditt PayPal-lösenord kan du återställa kontot genom att ange två sekundära lösenord som du har valt under registreringen. Med hjälp av dessa två lösenord kan du logga in på ditt PayPal-konto och göra allt du normalt kan göra utan att behöva ange ett säkerhetstoken först.

paypal login security code

Du kan säga nu att detta inte riktigt är ett problem, eftersom du måste ange två lösenord för att logga in. Problemet här är emellertid att genom att ange de två lösenordet för att logga in på PayPal tillhandahåller angripare, till exempel genom att använda en keylogger, med all information som behövs för att få tillgång till hela kontot.

PayPal ber om konto-e-postadressen först, med alternativ för att återställa det också genom att skriva in potentiella kandidater om du har glömt vilket e-postmeddelande du använder på PayPal. Du får en länk i det e-postmeddelandet som tar dig till en återställningssida. Beroende på dina kontoinställningar kan du ha flera alternativ här. Jag fick till exempel möjlighet att ange ett kreditkortsnummer som är kopplat till kontot eller besvara säkerhetsfrågorna.

Dessa säkerhetsfrågor består av det vanliga 'din mors födelse namn, barndomsvän eller sjukhus du föddes i' frågor. Observera att det rekommenderas starkt att inte svara rätt på frågorna under installationen, eftersom det annars är möjligt att gissa eller sociala ingenjörer dessa svar för att få kontoåtkomst.

Processen kringgår skyddsanordningen helt, vilket inte riktigt är klart varför det händer. Om du bara har glömt ditt lösenord bör du fortfarande ha åtkomst till enheten så att du fortfarande kan skapa en kod som en del av inloggningsprocessen.

Alternativet att återställa lösenordet utan att behöva genomgå en lång verifieringsprocess via telefon eller genom att skicka in dokument till PayPal för att verifiera din identitet är säkert bekvämt, men säkerheten borde vara viktigare än så.

Vad tar du på resultaten?