Tweetrapsauthenticatie in PayPal kan al geactiveerd worden

Hoewel PayPal de optie in Nederland en België nog niet aanbiedt, blijkt het al mogelijk te zijn om via een omweg tweetrapsauthenticatie te activeren. Na het invullen van hun telefoonnummer via een link, krijgen gebruikers per sms een unieke code toegestuurd bij iedere inlogpoging.

De mogelijkheid om via een link op de Amerikaanse PayPal-website een telefoonnummer te registreren, werd per toeval ontdekt door tweaker geekeep. Diverse Nederlandse en Belgische tweakers bevestigen in het topic dat ze tweetrapsauthenticatie op die manier hebben kunnen activeren op hun account. Ook Tweakers heeft zelf kunnen bevestigen dat de functie werkt. PayPal stuurt sms'jes in het Nederlands en de inlogpagina die vraagt om een code is vertaald naar het Nederlands.

Er zijn meer aanwijzingen dat PayPal bezig is het met het activeren van tweetrapsauthenticatie voor Nederlandstalige accounts. Wie inlogt op zijn PayPal-profiel, krijgt de nieuwe website-interface te zien. Bij het tabblad veiligheid is momenteel nog geen optie te zien om een beveiligingssleutel in te stellen, maar door op 'Inloggen met PayPal' te klikken, komt de gebruiker in de oude interface terecht. Hier kan doorgeklikt worden naar het profiel, bij rekeninginstellingen is vervolgens de optie 'Beveiligingssleutel' te zien. Ook hier kunnen gebruikers al tweetrapsauthenticatie activeren.

Wel valt op dat de link 'Meer informatie over het bestellen van PayPal-beveiligingssleutels' nog niet werkt. Dat versterkt de vermoedens dat PayPal nog bezig is met het implementeren van two-factor authentication voor Nederlandstalige accounts. In andere landen kan al lange tijd gebruikgemaakt worden van de extra beveiligingslaag.

PayPal tweetrapsauthenticatie

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 11-11-2015 16:59
77 • submitter: geekeep

11-11-2015 • 16:59

77

Submitter: geekeep

Lees meer

PayPal Benelux komt begin 2016 met ondersteuning voor tweetrapsauthenticatie
PayPal Benelux komt begin 2016 met ondersteuning voor tweetrapsauthenticatie Nieuws van 18 november 2015
PayPal laat Belgische webwinkelklanten producten gratis retour sturen
PayPal laat Belgische webwinkelklanten producten gratis retour sturen Nieuws van 17 april 2015
Specialisaties Internet Paypal

Reacties (77)

-Moderatie-faq
77
75
53
6
1
0
Wijzig sortering
Johan9711 11 november 2015 18:25
LET OP:
Als je de tweetrapsauthenticatie activeert kan je geen geld meer toevoegen via ideal!!
kimoi @Johan971112 november 2015 10:37
Waarom zou dat niet kunnen? Als het niet kan, lijkt het op een bug die zij op kunnen lossen voordat de tweetraps authenticatie officieel wordt aangekondigd. Het zou belachelijk zijn als dit niet meer kan.
Johan9711 @kimoi12 november 2015 10:37
Het is een bug. Het login venster dat je krijgt als je met ideal wilt opwaarderen ondersteunt nog geen tweetrapsauthenticatie.
kimoi @Johan971112 november 2015 10:50
Dat probeer ik te zeggen, dat het niet standaard is dat het niet kan, maar dat het nog wel wordt opgelost.
Anoniem: 413433 @Johan971111 november 2015 19:16
Jawel hoor, gewoon met money2
Johan9711 @Anoniem: 41343311 november 2015 19:18
Als je geld wilt toevoegen via iDeal krijg je een melding dat je eerst op de website in moet loggen, terwijl je dat al lang hebt gedaan. Money 2 is een of andere vage third party dienst.

[Reactie gewijzigd door Johan9711 op 22 juli 2024 22:46]

m_w_mol @Johan971112 november 2015 07:42
Vaag of niet, het werkt wel. Ik heb ook nog geen reviews gevonden, dat het ergens is misgegaan.
Marctraider 11 november 2015 18:32
Graag optioneel houden.

Ben die steeds omslachtiger wordende authenticaties zat.
drdelta @Marctraider11 november 2015 22:27
Heel omslachtig inderdaad, zo'n smsje ontvangen met een korte code die je over moet tikken. En waarom zou je, ik bedoel, het gaat slechts om geld/digitale bankrekening. ;(
Woutske @drdelta12 november 2015 12:23
Inderdaad. Het overtypen van een SMS om bij mijn bankrekening te komen vind ik wel heel veel moeite. Ik betaal liever nog meer transactiekosten zodat PayPal alle schade door geplunderde accounts kan vergoeden.
geekeep @Woutske12 november 2015 20:23
Ik betaal graag minder transactiekosten omdat iedere gebruiker verstandig met zijn (financiële) accounts omgaat. :Y)

Jouw reactie is in hetzelfde straatje als de mensen die iedere zomervakantie hun zonnebril of camera declareren als gestolen bij de reisverzekering, waardoor iedereen meer premie mag betalen. :+

[Reactie gewijzigd door geekeep op 22 juli 2024 22:46]

Woutske @geekeep13 november 2015 19:53
Mijn bericht was sarcastisch bedoeld :P Maar inderdaad, het is vervelend dat door een -kleine- groep mensen de premies omhoog moeten.
Moosjes 11 november 2015 17:03
Ik had ze graag gebruik zien maken van google authenticator in plaats van een sms dienst. Ik vind het jammer dat ik niet gewoon voor alle sites dezelfde methode kan gebruiken.
tom.cx @Moosjes11 november 2015 17:10
Ik snap dat een bedrijf hier zijn eigen weg wil varen en het op zijn eigen manier wil doen.
Ook vind ik het niet meer dan logisch dat ze geen Google dienst gebruiken voor de tweetrapsauthenticatie. Al moet ik zeggen dat SMS wel logisch is. Je kan sms berichten maar op een apparaat binnen krijgen. Vaak heb je deze 24/7 aan je zij. Tenzij je natuurlijk een telefoon hebt waarbij je niet zo bezig bent met security en je achterloopt met security updates (Android eerder dan iPhone).
Yggdrasil @tom.cx11 november 2015 17:23
Het systeem achter Google Authenticator is een open standaard en niet Google-specifiek. Je kunt bijv. ook de bekende Authy app gebruiken. Die app van Google is gewoon een veelgebruikte implementatie van het TOTP algoritme, maar is op geen manier gekoppeld aan Google's servers.

De techniek heet TOTP (Time-based One-time Password Algorithm). Het heeft mijn persoonlijke voorkeur boven SMS omdat het niet per se gebonden is aan één apparaat, of een data- of gsm-verbinding vereist.

Een tijd terug had ik een maand lang geen gsm ter beschikking. Man, wat zijn er dan plotseling veel dingen die je niet meer kunt doen. Ik wil daarom niet meer gebonden zijn aan één apparaat.
aadje93 @Yggdrasil11 november 2015 17:34
niet gebonden zijn aan 1 apparaat is gelijk alweer een hap uit de veiligheid van 2 factor halen, als iemand het voor elkaar krijgt het buiten jou om op een 2e apparaat te krijgen is het niets meer dan een 2e wachtwoord. Het fysieke deel is juist de bescherming die je krijgt.
SmokingCrop @aadje9311 november 2015 17:47
Ze moeten dan al eerst in je account kunnen om zo'n tweede code generator te maken.
Daarvoor heb je de smartphone nodig waar die code generated wordt. Als ze je gsm hebben en je wachtwoord, maakt het niet uit of dit nu via sms of via de app generated wordt.
aadje93 @SmokingCrop11 november 2015 17:48
en dan blijft dus hetzelfde probleem bestaan, gsm kwijt en je kunt alsnog geen nieuwe 2factor toevoegen :+
Vburen @aadje9311 november 2015 18:27
bij google kun je 10 one use 2FA codes genereren en op een veilige plek opslaan om dit te voorkomen.
aadje93 @Vburen11 november 2015 20:37
die gebrute-forced kunnen worden met nog steeds dezelfde problematiek....
.oisyn Moderator Devschuur® @aadje9311 november 2015 22:16
Je praat een hoop nonsens. Snap je wel hoe TOTP werkt? Het is een generator voor tijdelijke codes (die typisch een halve minuut geldig zijn) op basis van een key. Die key krijg je van de dienst (vaak in de vorm van een qr-code die je met bijv. je mobieltje kunt scannen).

Het voordeel is, zoals gezegd, dat je niet afhankelijk bent van een derde partij zoals een beschikbaar gsm netwerk, en dat je het ook op meerdere devices kunt gebruiken. De key of qr-code kun je uitprinten zodat je een paper backup hebt. En je kunt eventueel meerdere devices toevoegen. En nee dat maakt het niet direct onveilig. Je hebt nog altijd 2 dingen nodig (vandaar de 2 in 2fa).

Brute forcen kan simpelweg niet als de dienst een beetje goed geïmplementeerd is (account tijdelijk locken bij meerdere foute pogingen)
Dorank @.oisyn12 november 2015 17:27
Het enige wat echt duidelijk is is dat je niet inziet dat het niet over TOTP gaat maar over de 2FA implementatie van Google. Bij het activeren van 2FA krijg je 10 login codes voor in het geval dat je je 2de factor verliest. Het formaat ervan is bekent en hiermee verzwak je de TOTP factor.
Brute forcen kan simpelweg niet als de dienst een beetje goed geïmplementeerd is (account tijdelijk locken bij meerdere foute pogingen)
En naast een (slow) bruteforce mogelijkheid heb je hiermee dus ook meteen een DOS optie tegen gerichte accounts. Handig....
.oisyn Moderator Devschuur® @Dorank13 november 2015 02:10
Het enige wat echt duidelijk is is dat je niet inziet dat het niet over TOTP gaat maar over de 2FA implementatie van Google
Ja, sure, 3 reacties van aadje93 over TOTP, pas bij de laatste gaat het over die backup codes. Wat je stelt is overduidelijk gewoonweg niet waar.
Het formaat ervan is bekent en hiermee verzwak je de TOTP factor.
Eens zien, 10 backup codes van 8 cijfers, dus een kans van 1 op 10 miljoen dat je het goed raadt. En dan moet je dus ook al beschikken over het wachtwoord.
En naast een (slow) bruteforce mogelijkheid heb je hiermee dus ook meteen een DOS optie tegen gerichte accounts. Handig....
Sure, en daar is 2FA de schuld van volgens jou? Access restriction is sowieso een nuttige feature, ook zonder 2FA toegang. Je wilt ook niet dat men dictionary attacks gaat toepassen op je wachtwoord. Wat Google overigens doet is na een aantal pogingen een captcha laten zien.
AndrewBourgeois @aadje9312 november 2015 08:11
Sla de secret key die je krijgt bij het opzetten van 2FA op zodat je verder kan wanneer je telefoon 't niet meer doet. Dan kan je namelijk de secret key in een ander apparaat ingeven en en je weer vertrokken.
Toet3r @aadje9311 november 2015 20:35
Daarom kan je bij authy allow multi devices uitzetten. Dan kan je authy nooit werkend krijgen op een ander apparaat.
bbob
@tom.cx11 november 2015 17:54
M.a.w nooit op je telefoon je paypal account gebruiken.
Als je telefoon gehackt wordt of met malware zou deze theoretisch sms verkeur kunnen opvangen en als er een keylogger in zit die je paypal gegevens heeft is het feest compleet.
Anoniem: 310408 @bbob11 november 2015 18:36
M.a.w nooit op je telefoon je paypal account gebruiken.
Als je telefoon gehackt wordt of met malware zou deze theoretisch sms verkeur kunnen opvangen en als er een keylogger in zit die je paypal gegevens heeft is het feest compleet.
Een serie van gebeurtenissen die voor zover bekend nog nooit is voorgevallen. Op desktop machines is het daarentegen schering en inslag.

Om die reden gebruik ik PayPal veel liever op mijn smartphone. Statistisch (EN praktisch) gezien is het vele malen veiliger.
bbob
@Anoniem: 31040811 november 2015 21:17
Ik geef puur aan als je een 2 factor wil gebruik je dat niet op 1 apparaat moet doen maar op gescheiden apparaten.

Je leest ook genoeg over de sms'en van banken die door malware op een telefoon onderschept kunnen worden. Telefoons worden meer en meer aangevallen met malware.

Als iets nog nooit gebeurt is, wil dat niet zeggen dat het veilig is of nooit kan gebeuren. Daarom blijf ik bij de stelling als je 2 factor gebruikt dat via 2 apart apparaten moet..
kimoi @bbob12 november 2015 10:39
Iets wat volgens mij nog nooit is voorgekomen? En je bent sowieso niet echt bewust van security als je geen mogelijkheid hebt ingesteld om op afstand je telefoon te wipen.
bbob
@kimoi12 november 2015 14:16
Herhaling, wat nog niet is voorgekomen kan voorkomen en id dus geen argument.
Er is ondertussen genoeg malware die zich op bankapplicaties richt en dat zullen er meer en meer worden, tja het gaat om geld.

Jij spreekt als een typische tweaker je er van bewust moeten zijn je telefoon op afstand te wipen, leg dat eens uit aan 95% van de doorsnee gebruikers.

Wederom als je echte veiligheid wil moet je authenticatie op een andere apparaat doen en niet op een apparaat waarmee je ook je wachtwoord en code ingeeft.

Bij banken krijg je tenslotte ook een calculator waar je je bankkaart in stop, pincode ingeven en overschrijvingen bevestigd.
efari @tom.cx11 november 2015 19:18
Ik vind SMS dan weer een bijzonder slechte vorm van 2trapsauthenticatie.
  • ten eerste: met Google auth (of welke andere auth app dan ook) moet je eerst je toestel ontgrendelen. een sms kan je meestal lezen vanop het lockscreen (al kun je dit wel uitzetten uiteraard).
  • ten tweede: gelijk wie kan je telefoonnummer kapen. vraag simpelweg een nieuwe prepaid simkaart aan bij een andere provider en kies voor de optie nummeroverdracht.
    binnen enkele dagen krijg je een simkaart in de bus, en nog enkele dagen later is de oorspronkelijke simkaart niet meer geldig, en heb jij nu controle over het nummer.
Aurora @efari11 november 2015 20:37
Tweede punt, niet echt. Bij een nummeroverdracht heb je het serienummer nodig van de oorspronkelijke SIM-kaart.
SinergyX @Moosjes11 november 2015 17:13
Algemeen OTP zou al fijn zijn geweest (wat Google's authenticator gewoon is), nu hebben ze enkel hun eigen security card en de Verisign key token.
Kalief 11 november 2015 17:02
Als ze dit maar niet verplicht gaan maken.
Ik voel er niets voor om ze mijn telefoonnummer te geven.
Anoniem: 310408 @Kalief11 november 2015 18:47
Als ze dit maar niet verplicht gaan maken.
Ik voel er niets voor om ze mijn telefoonnummer te geven.
Ahum, dus wel al je bank of CC gegevens en het recht daar geld van af te schrijven maar je trekt de lijn bij je telefoonnummer? Dat is een opvallende stellingname en je moet je telefoonnummer wel bijzonder geheim houden. Belt iemand je wel eens op?
zacht @Anoniem: 31040811 november 2015 21:54
Mijn telefoonnummer mogen ze hebben. Maar er is bij mij geen cc of bankrekening gekoppeld aan PayPal, dus kunnen ze er niets van afschrijven. Ik maak steeds geld over via ideal voordat ik iets koop met PayPal. Niet dat ideal zo veilig is overigens.
Mavamaarten @Kalief11 november 2015 17:12
Ik geef ze liever mijn telefoonnummer, dan dat iemand mijn rekening leegkoopt op internet omdat ze genoeg hebben met mijn wachtwoord ;)
Blokker_1999
@Kalief11 november 2015 17:21
Ze hebben mijn nummer al jaren. Voor elke betaling met PP krijg ik al lang telkens netjes een SMS met de melding dat er een betaling gebeurd is. Als ik dan iets zie wat niet klopt kan ik onmiddelijk ingrijpen en mijn account of mijn creditcard laten blokkeren en hopen dat ik de schade vergoed krijg.
Dorank @Kalief11 november 2015 17:54
Paypal als payment service weet al meer intiemere dingen van je. Op zich zie ik dus geen probleem met het aanleveren van mijn mobiel nummer, ik heb echter een probleem met SMS als authenticatie. Die mij maar gewoon TOTP, in tegenstelling tot SMS te gebruiken op meerdere devices.
dennisk. 11 november 2015 17:12
Hier was ik toevallig al een poosje op aan het wachten.

Bedankt geekeep!

Tweetrapsauthenticatie bij PayPal vind ik wel het minste wat nodig is voor een goede beveiliging. Enkel een wachtwoord is simpelweg niet veilig genoeg.
Blokker_1999
@dennisk.11 november 2015 17:22
En toch is PP 1 van die diensten die er vrij goed mee wegkomt. Er zijn voor zover ik weet nog nooit grote problemen met PP en beveiliging geweest ondanks de relatief eenvoudige inlogmethode.
Anoniem: 145867 @Blokker_199911 november 2015 17:52
Vond het altijd een enge gedachte dat een rekening gekoppeld was en je met een simpele email + wachtwoord gewoon dingen kon betalen. :) Daar wil ik wel een tweetraps authenticatie graag toepassen. Al is het voor het gevoel.
Dorank @Anoniem: 14586711 november 2015 18:09
Je hoeft dan ook niet een rekening/cc gekoppeld te hebben. Je kan ook gewoongeld storten in je paypall account (een prepaid constructie dus).

edit: paypal url ipv het resultaat van het aanklikken.

[Reactie gewijzigd door Dorank op 22 juli 2024 22:46]

Anoniem: 145867 @Dorank11 november 2015 18:23
Klopt, maar dat duurt enkele dagen. En je wil vaak graag per direct iets bestellen.
mclegodude @Anoniem: 14586711 november 2015 18:38
Kan gewoon met ideal hoor. Is instant
Anoniem: 145867 @mclegodude11 november 2015 18:45
Is dus weer verandert. Ok mooi om te weten. Voorheen duurde het heel lang.
mclegodude @Anoniem: 14586711 november 2015 19:11
Klopt, is ook nog niet heel erg lang zo. Hadden ze ook wel meer ruchtbaarheid aan mogen geven IMHO.
kimoi @mclegodude12 november 2015 10:45
Op internationale websites is Ideal vrijwel nooit een mogelijkheid.
maevian @Dorank11 november 2015 18:50
Is wel super onhandig
indy1 @Anoniem: 14586711 november 2015 18:27
Inderdaad. Onbegrijpelijk dat ze het niet voor alle accounts hadden ingevoerd. Het kon al veel langer voor Amerikaanse accounts. Geen tweetrapsauthenticatie én die belachelijke limiet op het maximum aantal tekens voor een wachtwoord heeft me ervan weerhouden Paypal ten volle te gebruiken. Ik wil mijn geld niet in een bordkartonnen kluisje stoppen.

Dat ze hier nu mee komen, jaren nadat veel minder hackgevoelige diensten dit aanboden, is te gek voor woorden.

Zoals Elon Musk, mede-oprichter en oud-aandeelhouder van het bedrijf al jaren verkondigt, zijn ze het stuur wat kwijt bij Paypal. Dit is toch al een eerste stap in de juiste richting.
Napsju 11 november 2015 17:20
Ook maar even geactiveerd. Toch wel een prettig gevoel. Wel jammer dat je nu bij een PayPal betaling afhankelijk bent van de dekking van je mobiele aanbieder. Als je in het verre buitenland bent kan het ook maar zo zijn dat er geen roamingcontract is met een plaatselijke aanbieder. SMSjes ontvangen kun je dan wel vergeten. Voor mij was dat wel even een afweging.
Anoniem: 126717 @Napsju11 november 2015 17:34
Dat was ook mijn eerste gedachte, ik zit vaak op plekken zonder enige dekking of waar sms met enorme vertraging (tot en met dagen!) binnenkomt.
Nu is het natuurlijk ook zo dat ik op die plekken vaak ook in het geheel geen internet heb, dus het probleem is maar een kleintje. Tot net die ene keer dat ....

Ik ga het ook activeren, dat is toch een stuk zekerheid die ik graag wil hebben. Mijn wachtwoord is (zeer) sterk, maar computers zijn het tegenwoordig ook.
Yggdrasil @Anoniem: 12671712 november 2015 09:32
Inderdaad is in zo'n locatie het gebruik van PayPal ook niet mogelijk. Ik ga het ook maar aanzetten, ondanks dat ik liever TOTP had gebruikt.
glatuin 11 november 2015 17:02
Prettig om te zien dat ook PayPal dit gaan aanbieden. Het zou wel prettig zijn als ze straks ook een mogelijkheid bieden voor gebruik met een authenticator app. Verder zou het prettig zijn dat het maar om de xx tijd hoeft ingevuld te hoeft te worden. ANders blijf je maar SMS codes opvragen.
Xenvius 11 november 2015 17:15
Hier zat ik al een hele tijd op te wachten. Het niet aanbieden van 2FA kon anno 2010 al niet voor een dienst die in potentie veel schade kan doen aan je persoonlijke/zakelijke financiën, maar anno 2015? Ik ben blij dat het via een omweg in elk geval wel mogelijk is. Het zal niet heel lang duren voordat de functie officieel wordt geïntroduceerd als de pagina's al naar het Nederlands zijn vertaald.
Anoniem: 647586 11 november 2015 18:08
Het werd ook wel tijd he. Je foto's van je eten op twitter zijn wel beveiligd met 2FA (2 factor authentication), maar paypal waar je met geld bezig bent niet. Sloeg gewoon nergens op.
Friemel 11 november 2015 18:59
Yup werkt goed. Hopelijk duurt het twofactor niet te lang als je wilt betalen. Sms ontvangen kan soms erg traag zijn.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq