PayPal mit 2FA-App nutzen (Zwei-Faktor-Authentisierung)

Eine kleine Nachricht für alle PayPal-Nutzer, die eigentlich schon gestern veröffentlicht werden sollte – da informierte uns unser Leser Matthias nämlich. Das Problem: Als wir die Funktion testen wollten, konnten wir dies nicht, denn PayPal hatte bekanntlich Probleme. Also legen wir jetzt mal nach.

Bisher war es so, dass man PayPal zwar mit Zwei-Faktor-Authentisierung nutzen konnte (per Key oder SMS-Code), allerdings nicht mit OTP-Apps wie dem Google Authenticator oder Authy.

Offensichtlich hat PayPal aber ein Einsehen gehabt und erlaubt den Nutzern nun diese Möglichkeit. Zu finden ist diese in eurem PayPal-Account unter „Einstellungen > Sicherheit > Zweistufige Verifizierung„. Klickt ihr dies an, so habt ihr die Option zwischen einem Code per SMS oder eben der App. Im darauffolgenden Schritt scannt man mit der Auth-App den Code und in Zukunft muss man dann eben beim Login neben Benutzernamen und Passwort eben jenen von der App generierten Code eingeben. Nutzer von EnPass oder auch 1Password sollten das direkt nutzen können, da diese Passwortmanager ja das Generieren der Einmalpasswörter abhandeln.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

59 Kommentare

  1. Ist das echt neu? Ich nutze PayPal schon seit Ewigkeiten mit einer „Zwei-Faktor-Authentisierungs-App“ namens Symantic VIP Access.

  2. Danke. Gleich aktiviert.
    Mit SMS hatte ich öfter mal mit Verzögerungen zu kämpfen…

  3. Na endlich. Danke für die Info. Traurig das man von Paypal keine Information bekommt zu so einer Neuerung.

  4. Man muss bei jedem Login noch einen Code eingeben? Hab ich das richtig verstanden?

    • ja, es ist halt deine emailadresse, (zur identifizierung, also der feststellung um wen es überhaupt geht) und dann halt passwort wie bisher und dann einen code. nur eben dass man früher nur SMS und so ein komisches Symantec ding nutzen konnte, jetzt geht auch normal TOTP.

      • Um Gottes Willen, is ja Wahnsinn. Ist mir zu umständlich, ein sicheres PW sollte wohl reichen.

        • Du hast nicht so viel mitbekommen in letzer Zeit oder? Die ganzen Hacks? 2FA ist schon erheblich sicherer.

          Und Paypal ist halt auch kein unwichtiges Forum oder irgendein No-Name Shop. Da geht es um deine Kohle.

          • Allerdings öffnet man ja PayPal im Alltag sehr oft (ich zumindest). Jedes Mal den Token eingeben…puh

            • deswegen bietet Paypal ja an auf häufig genutzten computern den Login zu behalten.

              dazu ist jede Transaktion mit deinem bank konto außer einer Lastschrift auch 2FA gesichert nur dass du da keinen code eingeben musst, wenn du mit deiner EC karte arbeitest, das macht die für dich.

              und im onlinebanking hast du TANs (zugegeben noch sicherer, da im idealfall an die transaktion sichtbar gebunden) was auch 2FA ist.

          • Ich bekomme alles mit, oft mehr als mir lieb ist. Und da habe ich auch mitbekommen dass die 2FA auch gehackt werden kann, war erst vor kurzem. Und wenn man sich anguckt wo die Hacks so waren, geht es mich nichts an. Seiten wie Facebook sind interessanter und per se schon unsicherer sind als bspw. PayPal. Wen davon hat es getroffen? 😉

            • naja 2FA „hacken“ ist schon ein paar ecken schwerer. hier muss man zum einen wirklich entweder den dienst hacken (und nicht bloß das PW erraten) oder realtime phishing betreiben (gerade Paypal rennt mit EV cert run also solange die browser die grüne leiste mit firmennamen nicht abschaffen ist man relativ sicher, da eben „Paypal, Inc. [US]“ in der Adresszeile steht (trotzdem besser aufpassen dass man wirklich auf paypal.com ist). etwas aufwändiger als bei google oder amazon, wo das nicht der Fall ist.

              dazu hast du halt auch nicht das problem mit cross-phishing, wie ich es nenne, also dass dich jemand auf nem belanglosen dienst phisht und dann mit dem Passwort nach paypal geht.

              das schöne an 2FA ist dass man kein total bescheuertes passwort braucht sondern in der Theorie ein „normales“ reicht.

              • Da mache ich mir keine Sorgen. Die Login-Daten sind im Browser gespeichert und wenn die Adresse nicht stimmt, erscheinen die Daten natürlich auch nicht in den Feldern für den Login. Spätestens dann sollte man stutzig werden. Und Links aus eMails klicke ich eh nicht an. Aber auch da kann man sich absichern wenn man z.B. gMail nutzt. Wenn man PayPal als Kontakt hinterlegt hat, mit Logo und allen korrekten Adressen, erscheint vor einer Mail auch das dazugehörige Logo. Ist das Logo nicht da, stimmt etwas nicht.
                Es gibt ja auch Dienste bei denen ich das aktiviert habe, aber eben nicht wenn ich bei jedem Login solch einen Hürdenlauf hinlegen muss.

                • pommesmatte says:

                  Du speicherst dein PayPal Login im Browser? Ok, keine weiteren Fragen…

                  • Was ist daran so schlimm, hat das jemals zu einem Problem geführt? NEIN! Wie du siehst bietet es sogar ein Mehr an Sicherheit.

                    • zumindest wenn man kein masterpasswortdrauf hat sind die dinger unverschlüsselt gespeichert, die trojaner werden spaß haben

                    • Das ist sowas von kompletter Quatsch daß sich mir die Fußnägel hochklappen. Das in Browser gespeicherte Passwort lesen Dir je nach Browser und ohne Masterpasswort durchschnittliche Trojaner ruck zuck aus, der einzige Grund warum Dir da bisher nix passiert ist, ist pures Glück. Du verläßt Dich auf „Sicherheitsmerkmale“ die keine sind weil sie verhältnismäßig leicht manipuliert werden können. Aber es ist ja Dein Geld, daher mach ruhig so weiter aber erzähle hier anderen bitte nichts zum Thema Sicherheit, denn davon hast Du leider überhaupt keine Ahnung.

                    • Oh Mann. Logindaten im Browser speichern. Da brauchen wir auch nicht weiter reden. Du bist völlig ahnungslos.

                    • @MADman
                      Was hab ich bitte anderen über Sicherheit erzählt? Gar nirgendwo und überhaupt niemals nichts!!! Du schiebst bisschen Paranoia, kann das sein? Aluhut und so 😉 Wer so raushaut wie du hat in der Regel selber keine Ahnung von gar nichst (keinerlei Fakten und Argumente), das zeigt die Erfahrung. Aaalles nur Glück, siiicher, 30+ Jahre nichts als Glück *3fach-facepalm*. Und alle anderen außer dir sind bisschen bescheuert. Les‘ du erstmal richtig und dann lass brav TuneUp Utilities von deiner Chip-CD drüber laufen 😀 Von welchen Trojanern redest du überhaupt? Sowas hab ich nicht und auch noch nie gehabt.
                      Leute gibt’s . . .
                      Schneid‘ dir mal die Fußnägel 😀

                    • GooglePayFan says:

                      Und selbst wenn der Trojaner die unverschlüsselte Passwortdatenbank des Browser abfischt.

                      Bei euch kommt der Trojaner an das Passwort dann eben mit der eingebauten Keylogger-Funktion, gleiches Problem.

                    • @GooglePayFan nur dass uns ein Keylogger egal sein kann denn eher der fertig ist mich einzuloggen habe ich längst enter aufm 2FA code gedrückt und der ist ungültig.

                    • GooglePayFan says:

                      @My1
                      Und die 2FA hilft nicht auch, wenn man das Passwort im Browser speichert?

                    • @GooglePayFan theoretisch zumindest etwas, aber speichern eines PWs im browser torpediert das Konzept von Wissen und Besitz schon, lieber habe ich da ein PW das ich mir merken und vernünftig eingeben kann.

                      dazu hat ein Trojaner einen deutlichen vorteil gegenüber keyloggern.

                      der Keylogger muss dabei sein während du das PW eingibst, dazu kann man den keylogger vergessen wenn man features nutzt wie bspw einen browser mit einer gesandboxten bildschirmtastatur.

                      der trojaner der mitliest, der kann einfach das pw mitnehmen und direkt verschwinden.

                      dazu wenn der PC unzureichend gesichert ist, kann auch ein böser freund das PW mitnehmen, und wenn der 2. Faktor nicht besonders weit weg ist (bspw authy sync zum PC) dann halleluja.

                      vor allem da (was man eben bedenken muss TOTP komplett offline funktioniert wird generell ein geheimnis (das im QR Code) gespeichert, und sobald man das hat ist der 2. Faktor kompromittiert.

                      da der 2. Faktor ja schon darauf basiert dass man ein geheimis irgendwo speichert, ist einfach relativ sinnfrei sein pw nochmal irgendwo zu speichern weil mit gespeicherten pw. hast du ein dynamisches gespeichertes pw und ein statisches gespeichertes PW.

  5. Auch mit Authy oder Google Authenticator ging es schon seit über einem Jahr. Man musste sich nur den Sicherheitsschlüssel selbst manuell generieren:
    https://medium.com/@dubistkomisch/set-up-2fa-two-factor-authentication-for-paypal-with-google-authenticator-or-other-totp-client-60fee63bfa4f

    Aber gut, dass PayPal endlich ein Einsehen hat.

  6. Hat jemand eine Idee, wie man 2FA für einen Business Account aktivieren könnte, auf den mehrere User (aber mit dem gleichen Login) Zugriff haben müssen?

    • paypal erlaubt scheinbar mehrere geräte das heißt man könnte einfach jedem einen extra code geben (kein plan wie viele max gehen) oder man lässt alle den QR von einem scannen

    • Solange Du den QR-Code irgendwo hast, kannst Du beliebig viele Clients damit einrichten.

      • Funktioniert leider in den Geschäftskunden-Accounts bislang gar nicht! Nur über den Schlüssel oder Handynummer aber nicht Auth-App

  7. Sehr gut. Wie bereits hier gesagt, echt schade, dass man von Paypal über sowas nicht proaktiv informiert wird.

  8. Wie sieht es bei PayPal aus, wenn z.B. der Google Authenticator nicht mehr zur Verfügung steht? Ich konnte hier keine Backup-Codes finden, wie bei anderen Services. Klappt die Wiederherstellung dann über die 2FA-SMS?

  9. Jetzt fehlen nur so unbedeutende Unternehmen wie T-Online, Web.de/gmx.de/UI, sämtliche deutsche Banken, alle großen Telcos, die Bahn, die Versorger, DHL/Post. Also kurz gesagt: fast ganz #Neuland.

    • bzgl Banken:

      1. HBCI (wenn secoder dabei ist das geilste was geht)
      2. nutzen banken online TANs die noch besser sind als TOTP

      • Leider werden die Banken wegen neuen Gesetzen (genaues sagte mir die Sparkasse da nicht) innerhalb der nächsten zwei Jahre HBCI einstellen müssen…

        • das steht wo und vor allem warum. HBCI kann man ja mit TAN oder chipkarte nutzen. dass da die möglichkeit der papiertan ins nirvana fliegt (gibt ja genug andere tan methoden die die banken nutzen können) ist ja sowieso gegeben wegen der zahlungsrichtlinie.

          aber eine standardisierte schnittstelle, mit der man via software auf sein konto zugreifen kann ist doch was schönes…

  10. Nachdem Paypal mal mehrere Tage lang nicht nutzbar war für Leute, die 2FA eingeschaltet hatten, habe ich es direkt deaktiviert, nachdem ich wieder rein kam.

  11. Fred Schneider says:

    Ich nutze PayPal zusammen mit GooglePay. Weiß jemand, ob es beim kontaktlosen Bezahlen zu Problemen kommen kann, wenn 2FA aktiviert ist?

    • während ich jetzt google pay direkt nicht genutzt habe zum kontaktlos bezahlen oder so, die Playstore abrechnung via paypal (oder auch das bezahlen in steam mit gespeichertem paypal, oder Paypal auf der Switch) geht ohne probleme mit meinem seit langem SMS gesicherten paypal, da hier eine Händlerabbuchung eingerichtet wurde, also die ansprache dass du Google ausreichend vertraust, direkt von Paypal abzubuchen ohne überhaupt die paypal website zu gesicht zu bekommen.

    • pommesmatte says:

      Kein Problem mit Google Pay.

    • Fred Schneider says:

      Danke für die Antworten! Ich hab 2FA inzwischen eingerichtet und danach bei Aldi mit GooglePay bezahlt. War kein Problem!

  12. Also bei Paypal für Business Kunden ist diese Neuerung aber noch nicht angekommen (leider).

  13. Mega, danke für den Hinweis, gleich mal in Authy eingetragen.

  14. Danke für den Hinweis. Darauf habe ich gewartet! Direkt mal von SMS umgestellt!

    Das Einbinden in einen Passwortmanager funktioniert außerdem auch schon eine Ewigkeit mit Dashlane.

  15. Endlich! Danke für die Info, Caschy! 🙂

  16. Endlich! Ich hatte zwar mal diese Symantec-App, aber die geht ja nicht mehr. SMS ist bei mir zu Hause extrem schlecht, da im Haus fast kein Mobilempfang ist und ich jedesmal überlegt habe, ob ein Bezahlen mit Paypal das Gehampel draussen wert ist.
    Jetzt ist es ein Klick in KeePass und das OTP steht bereit :-).

  17. „Nutzer von EnPass oder auch 1Password sollten das direkt nutzen können, da diese Passwortmanager ja das Generieren der Einmalpasswörter abhandeln“: KeePass kann das mit dem TOTP PlugIn (KeeOPT / https://bitbucket.org/devinmartin/keeotp/wiki/Home) übrigens auch. Gerade getestet.

  18. Danke für den Tipp!
    Endlich keine SMS mehr 🙂

  19. Axel Milbradt says:

    Beschämend das erst jetzt und das als Mitglied der fido alliance da erwartet man Verfahren wie webauthn und nicht den Crap was andere schon seit Jahren an Bord haben.

  20. Nur leider hat Paypal immer noch nicht die Funktion des „vertrauenswürdigen Gerätes“ eingebunden um nicht „jedesmal“ seinen Code eingeben zu müssen.

    Daher wird es flux wieder deaktiviert, weil es nur nervt. Schade… hab das bisher bei keinem meiner vielen 2FA-Accounts gehabt, dass man jedesmal machen muss.

    • naja bei nem acc mit dem man aktiv bezahlt ist das mMn gar nicht mal so dumm und es gibt paypal onetouch womit man den login halten kann.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.