Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties
Submitter: geekeep

Hoewel PayPal de optie in Nederland en BelgiŽ nog niet aanbiedt, blijkt het al mogelijk te zijn om via een omweg tweetrapsauthenticatie te activeren. Na het invullen van hun telefoonnummer via een link, krijgen gebruikers per sms een unieke code toegestuurd bij iedere inlogpoging.

De mogelijkheid om via een link op de Amerikaanse PayPal-website een telefoonnummer te registreren, werd per toeval ontdekt door tweaker geekeep. Diverse Nederlandse en Belgische tweakers bevestigen in het topic dat ze tweetrapsauthenticatie op die manier hebben kunnen activeren op hun account. Ook Tweakers heeft zelf kunnen bevestigen dat de functie werkt. PayPal stuurt sms'jes in het Nederlands en de inlogpagina die vraagt om een code is vertaald naar het Nederlands.

Er zijn meer aanwijzingen dat PayPal bezig is het met het activeren van tweetrapsauthenticatie voor Nederlandstalige accounts. Wie inlogt op zijn PayPal-profiel, krijgt de nieuwe website-interface te zien. Bij het tabblad veiligheid is momenteel nog geen optie te zien om een beveiligingssleutel in te stellen, maar door op 'Inloggen met PayPal' te klikken, komt de gebruiker in de oude interface terecht. Hier kan doorgeklikt worden naar het profiel, bij rekeninginstellingen is vervolgens de optie 'Beveiligingssleutel' te zien. Ook hier kunnen gebruikers al tweetrapsauthenticatie activeren.

Wel valt op dat de link 'Meer informatie over het bestellen van PayPal-beveiligingssleutels' nog niet werkt. Dat versterkt de vermoedens dat PayPal nog bezig is met het implementeren van two-factor authentication voor Nederlandstalige accounts. In andere landen kan al lange tijd gebruikgemaakt worden van de extra beveiligingslaag.

PayPal tweetrapsauthenticatie

Moderatie-faq Wijzig weergave

Reacties (77)

LET OP:
Als je de tweetrapsauthenticatie activeert kan je geen geld meer toevoegen via ideal!!
Waarom zou dat niet kunnen? Als het niet kan, lijkt het op een bug die zij op kunnen lossen voordat de tweetraps authenticatie officieel wordt aangekondigd. Het zou belachelijk zijn als dit niet meer kan.
Het is een bug. Het login venster dat je krijgt als je met ideal wilt opwaarderen ondersteunt nog geen tweetrapsauthenticatie.
Dat probeer ik te zeggen, dat het niet standaard is dat het niet kan, maar dat het nog wel wordt opgelost.
Jawel hoor, gewoon met money2
Als je geld wilt toevoegen via iDeal krijg je een melding dat je eerst op de website in moet loggen, terwijl je dat al lang hebt gedaan. Money 2 is een of andere vage third party dienst.

[Reactie gewijzigd door Johan9711 op 11 november 2015 19:18]

Vaag of niet, het werkt wel. Ik heb ook nog geen reviews gevonden, dat het ergens is misgegaan.
Graag optioneel houden.

Ben die steeds omslachtiger wordende authenticaties zat.
Heel omslachtig inderdaad, zo'n smsje ontvangen met een korte code die je over moet tikken. En waarom zou je, ik bedoel, het gaat slechts om geld/digitale bankrekening. ;(
Inderdaad. Het overtypen van een SMS om bij mijn bankrekening te komen vind ik wel heel veel moeite. Ik betaal liever nog meer transactiekosten zodat PayPal alle schade door geplunderde accounts kan vergoeden.
Ik betaal graag minder transactiekosten omdat iedere gebruiker verstandig met zijn (financiŽle) accounts omgaat. :Y)

Jouw reactie is in hetzelfde straatje als de mensen die iedere zomervakantie hun zonnebril of camera declareren als gestolen bij de reisverzekering, waardoor iedereen meer premie mag betalen. :+

[Reactie gewijzigd door geekeep op 12 november 2015 20:26]

Mijn bericht was sarcastisch bedoeld :P Maar inderdaad, het is vervelend dat door een -kleine- groep mensen de premies omhoog moeten.
Ik had ze graag gebruik zien maken van google authenticator in plaats van een sms dienst. Ik vind het jammer dat ik niet gewoon voor alle sites dezelfde methode kan gebruiken.
Ik snap dat een bedrijf hier zijn eigen weg wil varen en het op zijn eigen manier wil doen.
Ook vind ik het niet meer dan logisch dat ze geen Google dienst gebruiken voor de tweetrapsauthenticatie. Al moet ik zeggen dat SMS wel logisch is. Je kan sms berichten maar op een apparaat binnen krijgen. Vaak heb je deze 24/7 aan je zij. Tenzij je natuurlijk een telefoon hebt waarbij je niet zo bezig bent met security en je achterloopt met security updates (Android eerder dan iPhone).
Het systeem achter Google Authenticator is een open standaard en niet Google-specifiek. Je kunt bijv. ook de bekende Authy app gebruiken. Die app van Google is gewoon een veelgebruikte implementatie van het TOTP algoritme, maar is op geen manier gekoppeld aan Google's servers.

De techniek heet TOTP (Time-based One-time Password Algorithm). Het heeft mijn persoonlijke voorkeur boven SMS omdat het niet per se gebonden is aan ťťn apparaat, of een data- of gsm-verbinding vereist.

Een tijd terug had ik een maand lang geen gsm ter beschikking. Man, wat zijn er dan plotseling veel dingen die je niet meer kunt doen. Ik wil daarom niet meer gebonden zijn aan ťťn apparaat.
niet gebonden zijn aan 1 apparaat is gelijk alweer een hap uit de veiligheid van 2 factor halen, als iemand het voor elkaar krijgt het buiten jou om op een 2e apparaat te krijgen is het niets meer dan een 2e wachtwoord. Het fysieke deel is juist de bescherming die je krijgt.
Ze moeten dan al eerst in je account kunnen om zo'n tweede code generator te maken.
Daarvoor heb je de smartphone nodig waar die code generated wordt. Als ze je gsm hebben en je wachtwoord, maakt het niet uit of dit nu via sms of via de app generated wordt.
en dan blijft dus hetzelfde probleem bestaan, gsm kwijt en je kunt alsnog geen nieuwe 2factor toevoegen :+
bij google kun je 10 one use 2FA codes genereren en op een veilige plek opslaan om dit te voorkomen.
die gebrute-forced kunnen worden met nog steeds dezelfde problematiek....
Je praat een hoop nonsens. Snap je wel hoe TOTP werkt? Het is een generator voor tijdelijke codes (die typisch een halve minuut geldig zijn) op basis van een key. Die key krijg je van de dienst (vaak in de vorm van een qr-code die je met bijv. je mobieltje kunt scannen).

Het voordeel is, zoals gezegd, dat je niet afhankelijk bent van een derde partij zoals een beschikbaar gsm netwerk, en dat je het ook op meerdere devices kunt gebruiken. De key of qr-code kun je uitprinten zodat je een paper backup hebt. En je kunt eventueel meerdere devices toevoegen. En nee dat maakt het niet direct onveilig. Je hebt nog altijd 2 dingen nodig (vandaar de 2 in 2fa).

Brute forcen kan simpelweg niet als de dienst een beetje goed geÔmplementeerd is (account tijdelijk locken bij meerdere foute pogingen)
Het enige wat echt duidelijk is is dat je niet inziet dat het niet over TOTP gaat maar over de 2FA implementatie van Google. Bij het activeren van 2FA krijg je 10 login codes voor in het geval dat je je 2de factor verliest. Het formaat ervan is bekent en hiermee verzwak je de TOTP factor.
Brute forcen kan simpelweg niet als de dienst een beetje goed geÔmplementeerd is (account tijdelijk locken bij meerdere foute pogingen)
En naast een (slow) bruteforce mogelijkheid heb je hiermee dus ook meteen een DOS optie tegen gerichte accounts. Handig....
Het enige wat echt duidelijk is is dat je niet inziet dat het niet over TOTP gaat maar over de 2FA implementatie van Google
Ja, sure, 3 reacties van aadje93 over TOTP, pas bij de laatste gaat het over die backup codes. Wat je stelt is overduidelijk gewoonweg niet waar.
Het formaat ervan is bekent en hiermee verzwak je de TOTP factor.
Eens zien, 10 backup codes van 8 cijfers, dus een kans van 1 op 10 miljoen dat je het goed raadt. En dan moet je dus ook al beschikken over het wachtwoord.
En naast een (slow) bruteforce mogelijkheid heb je hiermee dus ook meteen een DOS optie tegen gerichte accounts. Handig....
Sure, en daar is 2FA de schuld van volgens jou? Access restriction is sowieso een nuttige feature, ook zonder 2FA toegang. Je wilt ook niet dat men dictionary attacks gaat toepassen op je wachtwoord. Wat Google overigens doet is na een aantal pogingen een captcha laten zien.
Sla de secret key die je krijgt bij het opzetten van 2FA op zodat je verder kan wanneer je telefoon 't niet meer doet. Dan kan je namelijk de secret key in een ander apparaat ingeven en en je weer vertrokken.
Daarom kan je bij authy allow multi devices uitzetten. Dan kan je authy nooit werkend krijgen op een ander apparaat.
M.a.w nooit op je telefoon je paypal account gebruiken.
Als je telefoon gehackt wordt of met malware zou deze theoretisch sms verkeur kunnen opvangen en als er een keylogger in zit die je paypal gegevens heeft is het feest compleet.
M.a.w nooit op je telefoon je paypal account gebruiken.
Als je telefoon gehackt wordt of met malware zou deze theoretisch sms verkeur kunnen opvangen en als er een keylogger in zit die je paypal gegevens heeft is het feest compleet.
Een serie van gebeurtenissen die voor zover bekend nog nooit is voorgevallen. Op desktop machines is het daarentegen schering en inslag.

Om die reden gebruik ik PayPal veel liever op mijn smartphone. Statistisch (EN praktisch) gezien is het vele malen veiliger.
Ik geef puur aan als je een 2 factor wil gebruik je dat niet op 1 apparaat moet doen maar op gescheiden apparaten.

Je leest ook genoeg over de sms'en van banken die door malware op een telefoon onderschept kunnen worden. Telefoons worden meer en meer aangevallen met malware.

Als iets nog nooit gebeurt is, wil dat niet zeggen dat het veilig is of nooit kan gebeuren. Daarom blijf ik bij de stelling als je 2 factor gebruikt dat via 2 apart apparaten moet..
Iets wat volgens mij nog nooit is voorgekomen? En je bent sowieso niet echt bewust van security als je geen mogelijkheid hebt ingesteld om op afstand je telefoon te wipen.
Herhaling, wat nog niet is voorgekomen kan voorkomen en id dus geen argument.
Er is ondertussen genoeg malware die zich op bankapplicaties richt en dat zullen er meer en meer worden, tja het gaat om geld.

Jij spreekt als een typische tweaker je er van bewust moeten zijn je telefoon op afstand te wipen, leg dat eens uit aan 95% van de doorsnee gebruikers.

Wederom als je echte veiligheid wil moet je authenticatie op een andere apparaat doen en niet op een apparaat waarmee je ook je wachtwoord en code ingeeft.

Bij banken krijg je tenslotte ook een calculator waar je je bankkaart in stop, pincode ingeven en overschrijvingen bevestigd.
Ik vind SMS dan weer een bijzonder slechte vorm van 2trapsauthenticatie.
  • ten eerste: met Google auth (of welke andere auth app dan ook) moet je eerst je toestel ontgrendelen. een sms kan je meestal lezen vanop het lockscreen (al kun je dit wel uitzetten uiteraard).
  • ten tweede: gelijk wie kan je telefoonnummer kapen. vraag simpelweg een nieuwe prepaid simkaart aan bij een andere provider en kies voor de optie nummeroverdracht.
    binnen enkele dagen krijg je een simkaart in de bus, en nog enkele dagen later is de oorspronkelijke simkaart niet meer geldig, en heb jij nu controle over het nummer.
Tweede punt, niet echt. Bij een nummeroverdracht heb je het serienummer nodig van de oorspronkelijke SIM-kaart.
Algemeen OTP zou al fijn zijn geweest (wat Google's authenticator gewoon is), nu hebben ze enkel hun eigen security card en de Verisign key token.
Als ze dit maar niet verplicht gaan maken.
Ik voel er niets voor om ze mijn telefoonnummer te geven.
Als ze dit maar niet verplicht gaan maken.
Ik voel er niets voor om ze mijn telefoonnummer te geven.
Ahum, dus wel al je bank of CC gegevens en het recht daar geld van af te schrijven maar je trekt de lijn bij je telefoonnummer? Dat is een opvallende stellingname en je moet je telefoonnummer wel bijzonder geheim houden. Belt iemand je wel eens op?
Mijn telefoonnummer mogen ze hebben. Maar er is bij mij geen cc of bankrekening gekoppeld aan PayPal, dus kunnen ze er niets van afschrijven. Ik maak steeds geld over via ideal voordat ik iets koop met PayPal. Niet dat ideal zo veilig is overigens.
Ik geef ze liever mijn telefoonnummer, dan dat iemand mijn rekening leegkoopt op internet omdat ze genoeg hebben met mijn wachtwoord ;)
Ze hebben mijn nummer al jaren. Voor elke betaling met PP krijg ik al lang telkens netjes een SMS met de melding dat er een betaling gebeurd is. Als ik dan iets zie wat niet klopt kan ik onmiddelijk ingrijpen en mijn account of mijn creditcard laten blokkeren en hopen dat ik de schade vergoed krijg.
Paypal als payment service weet al meer intiemere dingen van je. Op zich zie ik dus geen probleem met het aanleveren van mijn mobiel nummer, ik heb echter een probleem met SMS als authenticatie. Die mij maar gewoon TOTP, in tegenstelling tot SMS te gebruiken op meerdere devices.
Hier was ik toevallig al een poosje op aan het wachten.

Bedankt geekeep!

Tweetrapsauthenticatie bij PayPal vind ik wel het minste wat nodig is voor een goede beveiliging. Enkel een wachtwoord is simpelweg niet veilig genoeg.
En toch is PP 1 van die diensten die er vrij goed mee wegkomt. Er zijn voor zover ik weet nog nooit grote problemen met PP en beveiliging geweest ondanks de relatief eenvoudige inlogmethode.
Vond het altijd een enge gedachte dat een rekening gekoppeld was en je met een simpele email + wachtwoord gewoon dingen kon betalen. :) Daar wil ik wel een tweetraps authenticatie graag toepassen. Al is het voor het gevoel.
Je hoeft dan ook niet een rekening/cc gekoppeld te hebben. Je kan ook gewoongeld storten in je paypall account (een prepaid constructie dus).

edit: paypal url ipv het resultaat van het aanklikken.

[Reactie gewijzigd door Dorank op 11 november 2015 18:11]

Klopt, maar dat duurt enkele dagen. En je wil vaak graag per direct iets bestellen.
Kan gewoon met ideal hoor. Is instant
Is dus weer verandert. Ok mooi om te weten. Voorheen duurde het heel lang.
Klopt, is ook nog niet heel erg lang zo. Hadden ze ook wel meer ruchtbaarheid aan mogen geven IMHO.
Op internationale websites is Ideal vrijwel nooit een mogelijkheid.
Is wel super onhandig
Inderdaad. Onbegrijpelijk dat ze het niet voor alle accounts hadden ingevoerd. Het kon al veel langer voor Amerikaanse accounts. Geen tweetrapsauthenticatie ťn die belachelijke limiet op het maximum aantal tekens voor een wachtwoord heeft me ervan weerhouden Paypal ten volle te gebruiken. Ik wil mijn geld niet in een bordkartonnen kluisje stoppen.

Dat ze hier nu mee komen, jaren nadat veel minder hackgevoelige diensten dit aanboden, is te gek voor woorden.

Zoals Elon Musk, mede-oprichter en oud-aandeelhouder van het bedrijf al jaren verkondigt, zijn ze het stuur wat kwijt bij Paypal. Dit is toch al een eerste stap in de juiste richting.
Ook maar even geactiveerd. Toch wel een prettig gevoel. Wel jammer dat je nu bij een PayPal betaling afhankelijk bent van de dekking van je mobiele aanbieder. Als je in het verre buitenland bent kan het ook maar zo zijn dat er geen roamingcontract is met een plaatselijke aanbieder. SMSjes ontvangen kun je dan wel vergeten. Voor mij was dat wel even een afweging.
Dat was ook mijn eerste gedachte, ik zit vaak op plekken zonder enige dekking of waar sms met enorme vertraging (tot en met dagen!) binnenkomt.
Nu is het natuurlijk ook zo dat ik op die plekken vaak ook in het geheel geen internet heb, dus het probleem is maar een kleintje. Tot net die ene keer dat ....

Ik ga het ook activeren, dat is toch een stuk zekerheid die ik graag wil hebben. Mijn wachtwoord is (zeer) sterk, maar computers zijn het tegenwoordig ook.
Inderdaad is in zo'n locatie het gebruik van PayPal ook niet mogelijk. Ik ga het ook maar aanzetten, ondanks dat ik liever TOTP had gebruikt.
Prettig om te zien dat ook PayPal dit gaan aanbieden. Het zou wel prettig zijn als ze straks ook een mogelijkheid bieden voor gebruik met een authenticator app. Verder zou het prettig zijn dat het maar om de xx tijd hoeft ingevuld te hoeft te worden. ANders blijf je maar SMS codes opvragen.
Hier zat ik al een hele tijd op te wachten. Het niet aanbieden van 2FA kon anno 2010 al niet voor een dienst die in potentie veel schade kan doen aan je persoonlijke/zakelijke financiŽn, maar anno 2015? Ik ben blij dat het via een omweg in elk geval wel mogelijk is. Het zal niet heel lang duren voordat de functie officieel wordt geÔntroduceerd als de pagina's al naar het Nederlands zijn vertaald.
Het werd ook wel tijd he. Je foto's van je eten op twitter zijn wel beveiligd met 2FA (2 factor authentication), maar paypal waar je met geld bezig bent niet. Sloeg gewoon nergens op.
Yup werkt goed. Hopelijk duurt het twofactor niet te lang als je wilt betalen. Sms ontvangen kan soms erg traag zijn.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True