Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties

In het eerste kwartaal van 2016 komt PayPal Benelux met officiŽle ondersteuning voor tweetrapsauthenticatie. Momenteel is het al mogelijk om de functie via een omweg te activeren, maar het toevoegen van geld via iDeal werkt dan niet meer.

Jan-Willem Roest, general manager van PayPal Benelux, bevestigt de komst van ondersteuning voor tweetrapsauthenticatie tegenover Tweakers. Eerder deze maand werd door een tweaker ontdekt dat de functie al geactiveerd kan worden. Dat kan in een menu van de oude PayPal-interface, die nog altijd actief is naast het nieuwe design. Roest bevestigt dat tweetrapsauthenticatie momenteel al actief is en laat weten dat de functie in het eerste kwartaal van 2016 in de nieuwe interface beschikbaar zal zijn.

Gebruikers die nu al tweetrapsauthenticatie geactiveerd hebben op hun account, melden dat geld toevoegen met iDeal niet meer mogelijk is. PayPal vraagt de gebruiker dan in te loggen, maar dit betreffende inlogvenster lijkt nog niet te zijn voorzien van ondersteuning voor tweetrapsauthenticatie, want het is niet mogelijk om verder te gaan. Het is wel mogelijk om geld over te maken middels een handmatige overboeking, ook komt het probleem niet voor bij gebruikers die een bankrekening aan hun PayPal-account hebben gekoppeld.

PayPal gebruikt sms-codes voor zijn implementatie van tweetrapsauthenticatie. Bij iedere inlogpoging krijgen gebruikers een unieke code toegestuurd die ingevuld dient te worden op de website. In andere landen is deze extra beveiligingslaag al lange tijd beschikbaar.

Moderatie-faq Wijzig weergave

Reacties (54)

Best, zolang die maar niet verplicht wordt. Ik vertrouw Paypal niet mijn telefoonnummer toe.
Je post wordt nogal bekritiseerd (wellicht niet genoeg onderbouwd), maar ik begrijp heel goed waarom je niet je telefoonnummer wilt verbinden aan een online dienst.

- als je geen ontvangst heb kan je ook niet inloggen
- als je via de browser van je telefoon wilt inloggen en je ontvangt een sms-code, dan is dit net zo onveilig als een normaal paswoord
- zover ik weet kunnen criminelen je sim/telefoonnummer dupliceren, m.b.v. een telefooncompany zodat zij je berichten/binnenkomende gespreken ontvangen. Hier kom je pas achter als je merkt dat je telefoon geen bereik meer hebt.
- daarnaast (ik weet niet of dit ook het geval is voor PayPal) kan je telefoonnummer in een database terechtkomen en voor marketing doeleinden gebruik worden. Binnen Facebook is dit wel het geval. Als ik een database heb met 06 nummers van mijn klanten, dan kan ik via Facebook specifieke advertenties op hun afvuren.

Er zullen vast meer redenen zijn om niet je persoonlijke/zakelijk telefoonnummer te koppelen aan online diensten - Wie weet er nog enkele? Ik hoor het graag

Als het echt puur gaat om het delen van je privť-telefoonnummer dan is het nemen van een dual-sim telefoon i.c.m. een prepaid kaartje wellicht een alternatief

edit: aanvulling/typo's

[Reactie gewijzigd door Waterkoker op 18 november 2015 13:21]

- Als ik geen ontvangst heb is de kans dat ik wil inloggen op PP ook enorm klein daar ik op zo een moment in the middle of nowhere zit.
- Neen, want het zijn nog altijd verschillende apps. Bijkomend gebeuren de meeste transacties bij mij niet op de telefoon (kan me niet herinneren wanneer ik voor het laatst PP op de mobiel heb gebruikt).
- Tjah, als je zo gaat beginnen is elke beveiliging slecht want er is altijd wel een manier om de beveiliging te doorbreken. Je voegt een extra trap toe aan de beveiligingsketen. Elke extra trap is een bijkomende beveiliging die de voorgaande aanvult
- Lees er even de privacy voorwaarden op na als je daarover bezorgd bent. Paypal is ook geen advertentieplatform maar een vorm van bank. Die halen geen inkomsten uit reclame van externe bronnen. Die halen hun winst uit transactiekosten.
"- Lees er even de privacy voorwaarden op na als je daarover bezorgd bent. Paypal is ook geen advertentieplatform maar een vorm van bank. Die halen geen inkomsten uit reclame van externe bronnen. Die halen hun winst uit transactiekosten."

De ING is ook een bank en die had(heeft) toch ook plannen om reclame te gaan verkopen op basis van hun klantenbestand. Privacy voorwaarden kunnen veranderen. Zeker als er een horde adverteerders op de stoep staat met een grote zak geld!
Paypal is ook geen advertentieplatform maar een vorm van bank.
Een "vorm" van een bank is nog geen bank. PayPal heeft geen bankvergunning in Nederland!
Komt daar nog bij dat als je in het buitenland bent en er een andere simkaart in hebt dat het dan niet meer werkt, tenzij je heel simpel een ander nummer kunt opgeven.

Bovendien heb je GEEN gekoppeld bankrekeningnummer en creditcard nodig. Je kunt gewoon zelf een bedrag via ideal overmaken, en dat niet te hoog maken, net iets meer dan de aankoop die je wilt doen.
Als je account gekraakt wordt ben je alleen je tegoed kwijt. Net zoiets als verlies van je portemonnee.
Derhalve vind ik die tweetrapsauthenticatie voor mij overbodig.

[Reactie gewijzigd door skatebiker op 18 november 2015 13:25]

Als mijn account gekraakt word zonder dat ik onvoorzichtig ben geweest dan verwacht ik dat mijn kredietkaartmaatschapij de schade gaat vergoeden net zoals ze doen bij diefstal van mijn fysieke kaart
Als mijn account gekraakt word zonder dat ik onvoorzichtig ben geweest dan verwacht ik dat mijn kredietkaartmaatschapij de schade gaat vergoeden net zoals ze doen bij diefstal van mijn fysieke kaart
Sowieso is het verstandig (als particulier die alleen maar aankopen doet) om PayPal alleen te koppelen met een kredietkaart en niet met een bankrekeningnummer, en altijd het PayPal saldo op 0,00 te houden. Als er ooit iets mis gaat dan verlies je niets behalve dat account (effectief alleen maar een gebruikersnaam, wachtwoord en transactiegeschiedenis).

Via de kredietkaartmaatschappij kan je je geld terugkrijgen. PayPal kan hierdoor je account blokkeren, maar de schade blijft beperkt tot enkel dat account en geen verloren geld.

Dus nee, ik zie geen toegevoegde waarde aan het vrijwillig weggeven van meer persoonsgegevens aan PayPal, zeker niet omdat het gaat om hun beveiliging en niet die van mij.

[Reactie gewijzigd door The Zep Man op 18 november 2015 14:09]

Voor zover ik weet wordt het geld van je rekening gehaald middels een automatische incasso, deze kun je gewoon terugboeken via de bank.
Precies: ik vind het wel veilig om mijn bankrekening te koppelen aan Paypal omdat je gewoon kunt storneren. Dan moet Paypal naar de rechter om te bewijzen dat jij hun geld schuldig bent, wat nogal wat gedoe is voor hen. En Paypal heeft geen sanctie voor jou behalve je account blokkeren, wat niet zo erg is.
Voor mij zou het wel een probleem zijn aangezien ik aardig wat betaal via paypal maar zou mijn account gehacked worden kan ik inderdaad altijd mijn geld terug halen.
Maar dan open je toch gewoon een nieuw account bij Paypal zonder je eigen bankrekening?
Voor zover ik weet kan een bankrekening maar een keer aan een paypal account gekoppeld worden
Dan doe je het de tweede keer met je kredietkaart, of door direct geld te storten op Paypal? Maar dat is sowieso alleen in geval van nood.
Dus nee, ik zie geen toegevoegde waarde aan het vrijwillig weggeven van meer persoonsgegevens aan PayPal, zeker niet omdat het gaat om hun beveiliging en niet die van mij.
Oftewel: Voor uw en onze veiligheid.
Alleen je eerste argument geldt, zeker als je in het buitenland bent en geen roaming hebt. Het idee achter twee traps authenticatie is natuurlijk een extra veiligheid. VOor je tweede argument geldt dat 'men' dus ook al toegang moet hebben tot je telefoon (beveiligt met pin...). Zolang je dus niet je wachtwoord in de browser opslaat moet men dus al meer info hebben.

Voor het laatste geldt natuurlijk dat je dus al veel moet weten. Je moet een gebruikersnaam en ww hebben + de bijbehorende SIM nummer om de kaart te dupliceren. Dat wordt wel heel lastig.

Het zorgt er wel voor dat scriptkiddies of evt. dubbel gebruikte wachtwoorden die je hebt men niet bij je PyaPal gegevens kan, ik vind het daarom ook raar dat het eigenlijk nu PAS een optie wordt en van mij mogen ze het verplichten.
- Wie weet er nog enkele? Ik hoor het graag
- Dan gaan ze me bellen en ik houd niet van telefoongesprekken want
- Ik ben nogal ontvankelijk voor telefonische verkopers
- Mijn nummer is geheim
- Ik neem geen onbekende of anonieme gesprekken aan, dus wat moeten ze met mn nummer

- Ik vraag mij echt helemaal blanco af wat het nut is om mijn nummer aan jan-en-alleman te geven.

edit.
Enneh, ik kan geen sms ontvangen op mijn telefoon.

[Reactie gewijzigd door stresstak op 18 november 2015 13:42]

Alleen hebben jij en Kalief het over twee totaal verschillende zaken. Hij spreekt over het toevertrouwen van zijn telefoonnummer aan Paypal, jij hebt het over de zwakheden van het gebruiken van SMS als tweede factor.

Waar Kalief's wantrouwen vandaan komt zou ik niet weten, wellicht bang dat zijn nummer wordt doorverkocht aan derden. Wat betreft jouw kritiek op SMS als 2-FA, daar ben ik het mee eens. Echter, een tweede factor (in welke vorm dan ook) is altijd nog beter dan de huidige situatie (was).
Je post wordt nogal bekritiseerd (wellicht niet genoeg onderbouwd), maar ik begrijp heel goed waarom je niet je telefoonnummer wilt verbinden aan een online dienst.
- als je geen ontvangst heb kan je ook niet inloggen
Zal in praktijk niet zo veel voorkomen. Een lege batterij daarentegen ...
- als je via de browser van je telefoon wilt inloggen en je ontvangt een sms-code, dan is dit net zo onveilig als een normaal paswoord
Nee, want je telefoon moet al aanstaan. De meeste mensen hebben een vingerafdrukscanner en/of pincode. In IOS werkt de app ook met touch ID dus betalen zonder vingerafdrukken na te maken lukt niet.
- zover ik weet kunnen criminelen je sim/telefoonnummer dupliceren, m.b.v. een telefooncompany zodat zij je berichten/binnenkomende gespreken ontvangen. Hier kom je pas achter als je merkt dat je telefoon geen bereik meer hebt.
Deze post heeft een hoog aluhoedje gehalte. Als je al een telefooncompany kan kraken ga je niet iemands paypal gebruiken lijkt me.
- daarnaast (ik weet niet of dit ook het geval is voor PayPal) kan je telefoonnummer in een database terechtkomen en voor marketing doeleinden gebruik worden. Binnen Facebook is dit wel het geval. Als ik een database heb met 06 nummers van mijn klanten, dan kan ik via Facebook specifieke advertenties op hun afvuren.
Ik zou je link eens lezen en goed lezen. Er staat helemaal niet dat je telefoonnummer kan gebruikt worden om er reclame naar toe te zenden. Er staat dat doelgroepen gedefinieerd kunnen worden door onder andere telefoonnummers.
Er zullen vast meer redenen zijn om niet je persoonlijke/zakelijk telefoonnummer te koppelen aan online diensten - Wie weet er nog enkele? Ik hoor het graag
Nee ik zie geen redenen.
als je via de browser van je telefoon wilt inloggen en je ontvangt een sms-code, dan is dit net zo onveilig als een normaal paswoord

Bekende misvatting.

Je moet namelijk nog steeds ťn je telefoon ťn je wachtwoord hebben.

Tenzij je het wachtworod opgeslagen hebt op je telefoon/in je browser. maar dan nog moet men dan ťn de telefoon ťn de toegangscode van je telefoon hebben.
- als je geen ontvangst hebt

Precies deze ervaring heb ik vorige week tijdens mijn vakantie meegemaakt. Je kan wel naar paypal, maar bij inloggen werd een SMS gestuurd naar mijn telefoon die geen bereik/abo heeft in het buitenland.

Vervolgens dus geen Paypal kunnen gebruiken en dus terug moeten vallen op iDeal, omdat dit toevallig wel ondersteund werd.
Waarom niet als ik vragen mag?
je vertrouwd ze wel met je bank/creditcard gegevens... maar niet je telefoon nummer?
Heel simpel, je hoeft niet je bank/creditcard gegevens op te geven om een Paypal account te hebben. Je kan ook gewoon netjes van andere mensen geld krijgen op je Paypal
Ze hebben sowieso je naam en adres. Dus wat maakt een telefoonnummer dan nog uit?
Telefoonnummer is nu ook "verplicht" maar vroeger had je alleen een email nodig ;)
PP is in essentie een bank en moet ook voldoen aan de europese bankwetgeving (EU hoofdzetel zit in Luxemburg) waarbij al jaar en dag een verplichting geld om je adresgegevens te hebben van je cliŽnten die een rekening hebben.
Om ook maar in herhaling te vallen: Paypal weet intiemere dingen van je op basis van je betalingen. Al die speeltjes die je kocht staan gewoon gespecificeerd bij Paypal op de "weet je zeker dat je dit wilt bestellen" pagina.

Er zijn goede reden om geen sms 2fa te gebruiken, maar een gebrek aan vertrouwen bij je payment provider heeft nogal een hoog alu hoedjes niveau, deze provider niet gebruiken is een betere optie.
Gehoord van een kennis: "Gebruik je verstand, betaal contant." O-) _/-\o_
De beste oplossing als het kan. Nergens gekoppelde databases.
Mja, dat is echt zinvol om mijn Amerikaanse of Chinese verkoper te kunnen betalen. ;)
Ik schrijf toch: als het kan. 8-) }:O :z
Je wil wel geld via hen transfereren, maar je telefoonnummer is geheim? Vreemd. Ze hebben mijn nummer al jaren. Elke keer als er geld van mijn rekening af gaat (handmatig of geautomatiseerd) krijg ik daar netjes een SMS voor.
Je hebt liever dat iemand je rekening kan leeghalen?
Wat is er zo er aan je telefoonnummer dan?
Beetje vreemd om paypal wel te vertrouwen met je rekeningnummer en persoonlijke info, maar je telefoonnr niet?

Waarom alleen het telefoonnr niet?
Beste iedereen, een tip met het activeren. DOE HET NIET!! je kunt het niet meer deactiveren.
ik heb het bij de vorige berichtgeving geactiveerd en krijg niet bij elke poging van inloggen of betalen een sms en moet dus een aantal keren inloggen voordat ik een betaling kan doen.
na contact met paypal nederland en europa geven zij hier geen ondersteuning aan!
Ik had het inderdaad ook de vorige keer geactiveerd alleen had ik ook die bug dat ik niet kon betalen terwijl mijn account gekoppeld is aan me bankrekening.

Maar ik kan het wel deactiveren via deze link
https://www.paypal.com/cg...leweb?cmd=_security-token
Als je hier inlogt kun je je beveiligingssleutel deactiveren en dan werkt alles weer normaal
Ik heb het gewoon gedeactiveerd :? Gewoon de klassieke weergave aanzetten meende ik.

[Reactie gewijzigd door Johan9711 op 18 november 2015 13:35]

Super alleen spijtig dat het alleen via sms is en niet ook met een authenticator app
Laatst heb ik naar aanleiding van de post over het activeren van 2FA bij PayPal wat rondgeneuzeld. Zo zag ik dat Paypal wel degelijk OTP tokens ondersteund, maar (zo leek) in eerste instantie in de vorm van prijzige hardware tokens. Later bleek dat dit een systeem is van VeriSign (nu Symantec), genaamd VIP Access.

Zoals op de vorige link te zien is, bied VIP Access 2FA apps voor bijna alle platforms. Helaas een single purpose+proprietary app en in mijn ogen dus ongewenst/overbodig op mijn apparaat. Onderliggend is VIP Access gewoon een eigen implementatie van RFC 4226 (HOTP). Met wat geknutsel blijkt het mogelijk om ook universele OTP apps (Authy/Google Authenticator e.d.) de juiste keys te kunnen laten genereren.

Jammer dat PayPal/Symantec dure hardware tokens willen verkopen of kosten voor smsjes willen maken i.p.v. een gangbare standaard implementeren.

Offtopic: PayPal heeft een geschiedenis van raar zaken doen (handelaren die geld kwijt waren zonder mogelijkheden tot beroep e.d.), dus enige terughoudendheid met het afgeven van je mobiele nummer lijkt mij niet vreemd. Sowieso lijkt het de omgekeerde wereld dat iemand in dit topic moet verklaren waarom hij zijn mobiele nummer liever geheim houdt. Het zou ieders eerste natuur moeten zijn om na te denken over je privacy voor je persoonlijke informatie afstaat. Punten waar ik aan denk:
* waar worden de gegevens voor gebruikt?
* is dit noodzakelijk of is er een alternatief?
* wat als de gegevens toch in handen van derden komen? (plausibel gezien de geregelde berichten in de media wat betreft hacks)

[Reactie gewijzigd door thomas_24_7 op 18 november 2015 15:44]

Ik heb inderdaad zowel SMS als VIP Access geactiveerd. VIP Access had ik al nodig vooor mijn werk. Zo kan ik ook nog inloggen als ik geen ontvangst heb.
PayPal gebruikt sms-codes voor zijn implementatie van tweetrapsauthenticatie. Bij iedere inlogpoging krijgen gebruikers een unieke code toegestuurd die ingevuld dient te worden op de website.
Dit is dan weer een beetje een jammere implementatie. Waarom niet gewoon TOTP gebruiken ?
Dat vraag ik me dus ook af. Als je nu op zee wel internet hebt maar geen SMS kunt ontvangen. Dan kan je Paypal dus op dat moment niet meer gebruiken?

[Reactie gewijzigd door immetjes op 18 november 2015 14:54]

nu al, in Amerika is het al behoorlijk ff mogelijk , heb zelf ook al aantal keren gebeld wanneer het mogelijk zo worden .
ik snap niet waarom dit zo lang heeft moeten duren terwijl het elders al lang mogelijk was ..
best schandalig dat dit niet eerder mogelijk was .
Je begint natuurlijk bij je grootste markt, wij zijn gewoon relatief klein qua markt, hebben andere taal, andere telefoonnetwerken, komt natuurlijk best wat bij kijken.
Werkt nog niet met mobiele betalingen.
Als ik betaling uitvoer via pc dan werkt alles prima maar een betaling van bijvoorbeeld de playstore lukt gewoon zonder dat ik daarvoor een SMS ontvang. Paypal is niet standaard gekoppeld aan playstore en moet ik dus voor inloggen om betalingen te autoriseren indien nodig.

Wel een goede stap vooruit dit.
Eindelijk. Ik wacht al tijden op deze feature, want ik vind geld afschrijven met alleen een wachtwoord niet heel veilig. Apart dat het zo lang geduurt heeft.
Ik weet niet of ik het zou aan zetten. Wil ik weer wat betalen met PayPal, moet ik eerst mijn telefoon weer zoeken... Ik gebruik PayPal namelijk juist als ik mijn telefoon niet bij de hand heb (ING met SMS codes voor ideal).
Vond het juist zo handig dat ik mijn telefoon niet bij mij hoefde te hebben.
Even snel iets op internet bestellen via paypal werkt erg goed is thuis bezorgd voor ik thuis was.
Nu moet ik mijn prive telefoon meenemen wat ik liever niet doe, en het acount aan een werknummer hangen doe ik liever niet.

Hopoenlijk word dit niet verplicht
PayPal gebruikt sms-codes voor zijn implementatie van tweetrapsauthenticatie. Bij iedere inlogpoging krijgen gebruikers een unieke code toegestuurd die ingevuld dient te worden op de website. In andere landen is deze extra beveiligingslaag al lange tijd beschikbaar.
Wat een ouderwetse manier van doen? Waarom gebruiken ze niet gewoon de Google Authenticator app zoals zoveel websites?

Ik heb helemaal geen zin om die dingen per SMS te ontvangen als er handige apps voor bestaan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True