Ich nutze Paypal über die Website mit Passwort und Code aus einer 2FA-App.
Seit kurzem wird der zweite Faktor aber beim Login gar nicht mehr abgefragt, ohne dass ich etwas an den Einstellungen geändert hätte. Heute wurde mir beim Login jetzt erstmalig ein Coder per SMS an meine hinterlegte Telefonnummer geschickt.
In den Einstellungen ist 2FA (per App) noch immer aktiviert.
Kennt das jemand…?
Edit: Ich entferne zwischendurch immer alle Cookies, erinnere mich aber, mal bei einem Login aus Versehen auf „dieses Gerät merken“ geklickt zu haben - merkt Paypal sich den Browser auf andere Art?
Edit2: Mit einem neuen Browser wird 2FA wieder abgefragt
Ja. PayPal merkt sich den Browser über mehrere Sessions mit vorher jeweils gelöschten Cookies hinweg. Habe ich auch schon festgestellt. Das liegt vermutlich daran, dass PayPal meint, dich genügend gut durch Fingerprinting und IP zu identifizieren.
Ist mir leider auch aufgefallen. Ich konnte es nun so umstellen das der 2. Faktor immer abgefragt wird. Ich weiß nicht wie das beim privaten Paypal-Account geht. Ich habe nur ein Business Account bei PayPal ….
Das bezweifel ich stark. Wiedererkennung wird bei sicherheitkritischen Entscheidungen normalerweise durch Browser-State (Cookies, …) gemacht und nicht durch unzuverlässige statistische Daten.
Für mich ist das nicht so ganz gelöst, denn “jedes Mal” ist eine eigentlich sehr eindeutige Formulierung, wie ich finde. Und ja bei mir kommt auch IMMER die Abfrage. Auch wenn ich zehn mal den gleichen Browser auf dem gleichen Endgerät mit identischer Konfiguration benutze. Kann mit Fingerprinting also nichts zu tun haben, wenn diese Einstellung getätigt wird:
Das kündigen sie ganz offiziell an, dass sie sich diesen Weg der Verifikation (zu einem Zeitpunkt ihrer Wahl) vorbehalten. Habe mich grad gestern damit befasst, wo ich wegen des auf Heise gemeldeten Datenlecks (was wohl keines war) mein Passwort geändert habe. 2fa per TOTP habe ich genau wie Du schon immer aktiviert, doch hätte ich mir gerne einen Passkey angelegt. Geht aber ausschließlich über ein Mobilgerät mit Google- oder Apple-Account (also nicht über KeepassXC, wo ich meine Passkeys speichere).
Außerdem wird neben einem angelegten Passkey weiterhin als Fallback das Passwort und zusätzlich ein 2. Faktor abgefragt (TOTP und/oder SMS). Weitere Dinge, wo man sich an den Kopf fasst: Maximale Passwortlänge ist auf 20 Zeichen limitiert, und ein Minuszeichen gehört nicht zu den erlaubten Sonderzeichen…
Du sagst es: Normalerweise. PayPal macht so einige komische Dinge. Deshalb setze ich da auch nie den Haken auf angemeldet bleiben (gut bei mir werden die Cookies sowieso nach jeder Sitzung gelöscht, weshalb ich das bei anderen Seiten auch nicht tue). Aber wenn ich es dennoch mal tue, muss ich mich bei der nächsten Sitzung (wir erinnern uns: Die Cookies (und somit auch die Session-Cookies) werden nach jedem Schließen des Browsers gelöscht) nur mit meinem Passwort einloggen. → Folgerung (von mir): Das Merkmal das PayPal einsetzt sind IP-Adresse und exakter Fingerprint (vermutlich der mit der Darstellung einer Bilddatei; mir ist grade der Name entfallen).
Es gibt auch noch andere persistente Daten im Browser, die nichts mit Fingerprinting zu tun haben und eine genaue Reidentifizierung ermöglichen. Löscht du nur für Paypal oder alles? Was ist mit anderen allen anderen Seitendaten (außer Cookies), werden die auch gelöscht bei dir?
