PayPal vihdoinkin lisäsi 2-vaiheisen autentikoinnin

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 313
PayPal adds authenticator app as 2-step verification option - gHacks Tech News

N1s6Ywv.png



Suosittelen tarkoitukseen kolmannen osapuolen https://authy.com appia. Sen etu on mm. se, että samoja 2FA-tilejä (Two-factor authentication) voidaan käyttää useammassa eri laitteessa. Näin esim. puhelimen vaihto ei aiheuta tuskaa 2FA siirtämisen kanssa vanhasta laitteesta uuteen.

Why Is The Authy 2FA App Free For Users? - Authy
 
Viimeksi muokannut ylläpidon jäsen:
Onko tuo nyt yleinenkin ongelma, että ihmisillä ei ole nettiä käytettävissä kun olet netissä ostoksilla... kun haluavat tehdä näitä paikallisesti pyöriviä koodigeneraattoreita?

Meinaan mun mielestä tarpeettoman vaivalloisia nämä missä pitää kopioida jotain numerokoodeja luurista puhelimeen, kun saman voisi hoitaa vaan painamalla ok käytettyään luurin sormenjäljen tai pärstän tunnistusta (tai omaa PIN-numeroa jos ei halua biometrisiä käyttää). Siis jos on nimenomaan erillinen app, ymmärrän nuo varmennuskoodit SMS/email toteutuksissa, kun niissä muu ei ole oikein mahdollista (noh, toki linkki olisi).
 
Onhan niitä vaihtoehtoja. Oman PINin kohdalla ongelmana lienee se, että helposti aletaan käyttämään samaa PINiä joka paikassa.
 
Ei noista Paypalin kaksinkertaisista varmistuksista ole mihinkään. Juuri pari viikkoa sitten yksi tuttu sanoi, että oli laittanut omaan tiliinsä asetuksen, että tulee tekstarilla varmistuskoodi joka ostokseen. Korttia käyteltiin onnistuneesti jonkun toimesta kaukana ulkomailla eikä mitään tekstareita koskaan kuulunut eli yhtä tyhjän kanssa nuo Paypalin systeemit. Eikä tullut rahojakaan takaisin vaikka oli Paypalin kautta käytetty.
 
Ei noista Paypalin kaksinkertaisista varmistuksista ole mihinkään. Juuri pari viikkoa sitten yksi tuttu sanoi, että oli laittanut omaan tiliinsä asetuksen, että tulee tekstarilla varmistuskoodi joka ostokseen. Korttia käyteltiin onnistuneesti jonkun toimesta kaukana ulkomailla eikä mitään tekstareita koskaan kuulunut eli yhtä tyhjän kanssa nuo Paypalin systeemit. Eikä tullut rahojakaan takaisin vaikka oli Paypalin kautta käytetty.

Yks tuttu vai... Luulisi löytyvän jotain juttua asiasta netissäkin koska tuo paypal on aika käytetty palvelu? Ellei sitten tuttavasi ollut ainut.
 
Toivottavasti pystyy edelleen normaalistikin käyttämään. Koskaan ole ollut mitään ongelmia 10v tai enemmän aikana mitä käyttänyt.
 
Ei noista Paypalin kaksinkertaisista varmistuksista ole mihinkään. Juuri pari viikkoa sitten yksi tuttu sanoi, että oli laittanut omaan tiliinsä asetuksen, että tulee tekstarilla varmistuskoodi joka ostokseen. Korttia käyteltiin onnistuneesti jonkun toimesta kaukana ulkomailla eikä mitään tekstareita koskaan kuulunut eli yhtä tyhjän kanssa nuo Paypalin systeemit. Eikä tullut rahojakaan takaisin vaikka oli Paypalin kautta käytetty.
No mulla meni just toistepäin. Ei ollut tuota tekstari juttua, tunnukset vietiin ja 100€ edestä ostettiin roinaa. Rahat sain onneksi takaisin ja tekstarivarmistus ollut tuon jälkeen käytössä ilman mitää ongelmia.
 
Ei noista Paypalin kaksinkertaisista varmistuksista ole mihinkään. Juuri pari viikkoa sitten yksi tuttu sanoi, että oli laittanut omaan tiliinsä asetuksen, että tulee tekstarilla varmistuskoodi joka ostokseen. Korttia käyteltiin onnistuneesti jonkun toimesta kaukana ulkomailla eikä mitään tekstareita koskaan kuulunut eli yhtä tyhjän kanssa nuo Paypalin systeemit. Eikä tullut rahojakaan takaisin vaikka oli Paypalin kautta käytetty.

Jaa. Sanamuotosi viittaa että tuo case on loppuunkäsitelty. Kuulostaa että kaveria on petetty, ja tyytyy siihen. Miksi helv jos ei ole itse sössinyt mitään?

Kyllä Paypal (tai luottokorttiyhtiö) hyvittää kun/jos väärinkäytöksiä tapahtuu. PP on defacto maksutapa monessa paikassa. Koko Ebay kaatuu päivässä jos Paypal ei takaa turvallista ostamista.

Viitaten edellä olleeseen kommenttiin. Eipä ole täälläkään ikinä ollut mitään ongelmia.
 
Jaa. Sanamuotosi viittaa että tuo case on loppuunkäsitelty. Kuulostaa että kaveria on petetty, ja tyytyy siihen. Miksi helv jos ei ole itse sössinyt mitään?

Kyllä Paypal (tai luottokorttiyhtiö) hyvittää kun/jos väärinkäytöksiä tapahtuu. PP on defacto maksutapa monessa paikassa. Koko Ebay kaatuu päivässä jos Paypal ei takaa turvallista ostamista.

Viitaten edellä olleeseen kommenttiin. Eipä ole täälläkään ikinä ollut mitään ongelmia.
Paypal ei maksanut mitään takaisin. Heidän mukaansa kaikki oli normaalia, vaikka joku maksoi taksin australiassa samaan aikaan kun kortin omistaja oli suomessa.
 
Joku kirjautui meikeläisen Ps4 tilille Kiinassa, olin joskus ostanut PS storesta Paypalin kautta pelin niin eikö saatana se salasana / tili ollut tallentunut ps4 tiliin ja vaikka kiinassa kirjautui niin siitä toimi kuin vettä vain.
Join aamukahvia niin puhelimeen pärähti 150€ kuitti paypal ostoksesta ja onnittelut, tuli muuten vauhtia töppösiin noin 10 sec wtf ihmettelyn jälkeen.
Lopulta PS store palautti rahat kun olivat tutkineet tilanteen ja tapahtuman jälkeen meni sms varmistus päälle.
 
En kyllä tiedä turvallisempaa maksutapaa kuin PayPal ja 2FA lisää sitä entisestään.
Aina on disputet toiminu ja ulkomailta on tilattu tavaraa paljon tässä reilun 10 vuoden aikana mitä olen Paypalilla maksanu, koskaan ole ollu PP:n kanssa ensimmäistäkään ongelmaa. :)
 
Ei noista Paypalin kaksinkertaisista varmistuksista ole mihinkään. Juuri pari viikkoa sitten yksi tuttu sanoi, että oli laittanut omaan tiliinsä asetuksen, että tulee tekstarilla varmistuskoodi joka ostokseen. Korttia käyteltiin onnistuneesti jonkun toimesta kaukana ulkomailla eikä mitään tekstareita koskaan kuulunut eli yhtä tyhjän kanssa nuo Paypalin systeemit. Eikä tullut rahojakaan takaisin vaikka oli Paypalin kautta käytetty.
Siis maksanut paypal tililtään vai joku maksanut hänen kortillaan? Eihän paypal varmistukset tietenkään auta kuin paypallin kautta tehtäviin ostoksiin
 
Onhan niitä vaihtoehtoja. Oman PINin kohdalla ongelmana lienee se, että helposti aletaan käyttämään samaa PINiä joka paikassa.
Onhan se silti turvallisempi kuin app, joka ilman mitään lisävarmistusta jakelee koodeja (tai vastaava SMS). Sen lisäksi, että on helpompi käyttää kun manuaalista kopiointia ei tarvita.

Toki vielä parempi käyttää niitä biometrisiä.
 
Onhan se silti turvallisempi kuin app, joka ilman mitään lisävarmistusta jakelee koodeja (tai vastaava SMS). Sen lisäksi, että on helpompi käyttää kun manuaalista kopiointia ei tarvita.
Onhan noissa softissa yleensä omat varmistuksensa esim sormenjälkitunnistus tai erillinen salasana jolla koodit/tilit saa näkyviin. Authystä esim löytyy molemmat.
 
Toki jos jaksaisi verkkopankista kikkailla, niin jos kuten itsellä on kortti PP:ssä, niin senhän voisi aina muuttaa netissä toimimattomaksi kun ei tarvitse jotain ostaa ja toisinpäin.

Tosin tuossa taitaa olla se ongelma että PP taitaa olla hanakka disabloimaan tilejä joissa ei maksu toimi, eli jos joku saanut tunnukset ja yrittää ostaa, osto ei tietysti mene jos kortti nettiestossa. Mutta tuleeko lopulta ongelmat lailliselle käyttäjälle kun joutuu sitten todistelemaan tms?
 
Viimeksi muokattu:
Onhan noissa softissa yleensä omat varmistuksensa esim sormenjälkitunnistus tai erillinen salasana jolla koodit/tilit saa näkyviin. Authystä esim löytyy molemmat.
No en tiedä onko tässä, esim. Steam Authenticatorissa ei ole.

Mutta alkaa mennä aika sivuraiteille alkuperäisestä pointista, se että maksun voisi vain vahvistaa vain luurista olisi ihan yhtä turvallista ja paljon helpompaa kuin koodien kopiointi, kummassakin tavassa voi haluttaessa olla joku lisätarkistus ennen kuin vahvistus tehdään tai koodi annetaan.

Offline toimintaa online shoppailuun en pidä niin oleellisena, että sen takia käyttökokemusta kannatti heikentää.
 
Onhan se silti turvallisempi kuin app, joka ilman mitään lisävarmistusta jakelee koodeja (tai vastaava SMS). Sen lisäksi, että on helpompi käyttää kun manuaalista kopiointia ei tarvita.

Toki vielä parempi käyttää niitä biometrisiä.

Ei se välttämättä ole yhtään sen turvallisempi. Kuten aikaisemmin jo totesin saman PIN:n käyttäminnen useammassa paikassa toimii lähinnä hidasteena murtajille. Manuaalinen kopio ei suinkaan ole ainut vaihtoehto koska osa softista osaa kysyä "kyllä / ei" sallimiskysymyksiä ja vaihtoehtoisesti kuusinumeroisen lukun näpyttelyyn usealta menee vähemmän aikaa kuin perinteiseen kopio & liitä. Joka tapauksessa hyvä että meillä on vaihtoehoja joista valita. Tärkeintä on kuitenkin että tilillä kuin tilillä se salasana ei ole ainut suojausmenetelmä.

Onhan noissa softissa yleensä omat varmistuksensa esim sormenjälkitunnistus tai erillinen salasana jolla koodit/tilit saa näkyviin. Authystä esim löytyy molemmat.
Juurikin noin.
 
Kiitos tiedosta, tuli itsekkin lisättyä tämä käyttöön. Itse käytän google authenticatoria.
 
Siis maksanut paypal tililtään vai joku maksanut hänen kortillaan? Eihän paypal varmistukset tietenkään auta kuin paypallin kautta tehtäviin ostoksiin
Paypal tilillä näkyivät jonkun Australialaisen taksifirman veloitukset eli pakostakin Paypalin kautta, koska ko. firma ei taatusti saa tietoa muista kuin oman systeeminsä kautta tehdyistä ostoista.

Kun katselin huvikseen, niin netin perusteella Paypal on ainakin kahdesti joutunut jo korjaamaan systeemeistään bugin, jolla pääsi tuon kaksivaiheisen varmistuksen ohi. Olettaisin, että joku on löytänyt kolmannen...
 
Edelleen, voiko jossain tosiaan käyttää PP:tä taksin tms "juoksevan" maksun maksamiseen? Aivan outo ajatus, sama kuin Suomessa menisi taksilla klarnan piikkiin.
 
Paypal tilillä näkyivät jonkun Australialaisen taksifirman veloitukset eli pakostakin Paypalin kautta, koska ko. firma ei taatusti saa tietoa muista kuin oman systeeminsä kautta tehdyistä ostoista.

Kun katselin huvikseen, niin netin perusteella Paypal on ainakin kahdesti joutunut jo korjaamaan systeemeistään bugin, jolla pääsi tuon kaksivaiheisen varmistuksen ohi. Olettaisin, että joku on löytänyt kolmannen...
Mitä Paypal vastasi kun kerto että olin jäädyttämässä itseäni suomessa enkä Australian kesää en ole nähnyt kuin unelmissa??

Onko kaverisi nyt tyytynyt jonkun huonotuulisen aspan 1-level henkilön hälläväliä-fiiliksellä tehtyyn päätökseen? Kyllä tuohon kaiken järjen mukaan saatte korjauksen.

Yleensä korjaus tulee hätäseen kun kertoo olevansa kykenevä ja motivoitunut käyttämään sosiaalista mediaa, vaikka ei mitenkään haluaisi, koska hommat on aikaisemmin toiminut.

Veikkaan että somellakaan uhkailua ei tarvita kun on sitkeä ja kertoo että tämä ei nyt käy.
 
Mitä Paypal vastasi kun kerto että olin jäädyttämässä itseäni suomessa enkä Australian kesää en ole nähnyt kuin unelmissa??

Onko kaverisi nyt tyytynyt jonkun huonotuulisen aspan 1-level henkilön hälläväliä-fiiliksellä tehtyyn päätökseen? Kyllä tuohon kaiken järjen mukaan saatte korjauksen.

Yleensä korjaus tulee hätäseen kun kertoo olevansa kykenevä ja motivoitunut käyttämään sosiaalista mediaa, vaikka ei mitenkään haluaisi, koska hommat on aikaisemmin toiminut.

Veikkaan että somellakaan uhkailua ei tarvita kun on sitkeä ja kertoo että tämä ei nyt käy.
Paypal oli kuulema kertonut, että päätös on lopullinen ja siitä ei voi valittaa. Tuli jälkikasvun Minecraftille hintaa toistasataa euroa. Kuoletti korttinsa eikä aio enää koskaan käyttää Paypalia.
 
Paypal oli kuulema kertonut, että päätös on lopullinen ja siitä ei voi valittaa. Tuli jälkikasvun Minecraftille hintaa toistasataa euroa. Kuoletti korttinsa eikä aio enää koskaan käyttää Paypalia.
En luopuisi hänenä. En missään tapauksessa.

Kertoo ystävällisesti faktat että on ollut planeetan toisella puolella, jonka voin todistaa, eli selittäkääpä miten voin ostaa taksimatkan Australiassa??

Jos ei selitystä löydy on väärinkäytös tai virhe kyseessä, ja ellei itse sitä ole aiheuttanut, niin dinerot takaisin, ystävällisesti, kiitos.
 
En luopuisi hänenä. En missään tapauksessa.

Kertoo ystävällisesti faktat että on ollut planeetan toisella puolella, jonka voin todistaa, eli selittäkääpä miten voin ostaa taksimatkan Australiassa??

Jos ei selitystä löydy on väärinkäytös tai virhe kyseessä, ja ellei itse sitä ole aiheuttanut, niin dinerot takaisin, ystävällisesti, kiitos.

Paypal on vain tapa maksaa netissä, maantieteellisellä sijainnilla ei sinänsä ole mitään merkitystä. Itse olen kotona istuessa maksanut toisella mantereella matkustavalle puolisolle matkalippuja. Paypal ei tiedä siviilisäätyäni ja mahdollinen VPN käyttö sotkee IP-osoitteiden seurantaa. Aika tapauskohtaiseksi menee, jos joku tekisi maksun minun tiedoillani australialaiselle firmalle. Ensimmäinen kysymykseni olisi, käyttikö kriminaali minun salasanaani.

Samasta syystä en suostu Paypalille antamaan mitään muita maksutietoja kuin luottokortin.
 
Paypalin 2FA on ... perseestä!

Minulla kävi niin että oli aktivoinut Paypalin 2FA:n, jossa oman puhelimeni appi hoitaa autentikoinnin toisen osan. So far so good - hyvin se toimi.
Mutta sattuneista syistä johtuen jouduin resetoimaan puhelimeni, jolloin autentikointi hävisi luonnollisesti myös. Tuumasin että kai tuon 2FA:n saa jotenkin resetoitua Paypalin sivuilla.

TL;DR Kaikki yritykset saada uudelleenaktivoitua 2FA puhelimeeni on todettu mahdottomaksi.

Joo, salasanan saa kyllä resetoitua ja Paypal osaa jopa lähettää väliaikaisen vahvistuskoodin tekstarina, mutta kun yritän kirjautua tilille jotta voisin konffata 2FA:n, kirjautuminen vaatii autentikaattorin koodin. Jota ei ole siis mahdollista saada. Hirmu kaivelun jälkeen löytyi jenkkien puhelinnumero, jossa helpparin robotti kyselee ummet ja lammet. Ja totesi lopuksi ettei kukaan pysty auttamaan ja luuri korvaan. Nyt minulla on Paypal acco jota en pääse käyttämään, resetoimaan tai edes lopettamaan.

Pitäkää tunkkinne. Helpommalla pääsi kun teki uuden tilin.

Pysykää kaukana Paypalin 2FA:sta. Tai olkaa viisaampia kuin minä ja varmistakaa että Paypalin 2FA on aktivoitu ainakin kahdessa laitteessa.
 
Paypalin 2FA on ... perseestä!

Minulla kävi niin että oli aktivoinut Paypalin 2FA:n, jossa oman puhelimeni appi hoitaa autentikoinnin toisen osan. So far so good - hyvin se toimi.
Mutta sattuneista syistä johtuen jouduin resetoimaan puhelimeni, jolloin autentikointi hävisi luonnollisesti myös. Tuumasin että kai tuon 2FA:n saa jotenkin resetoitua Paypalin sivuilla.

TL;DR Kaikki yritykset saada uudelleenaktivoitua 2FA puhelimeeni on todettu mahdottomaksi.

Joo, salasanan saa kyllä resetoitua ja Paypal osaa jopa lähettää väliaikaisen vahvistuskoodin tekstarina, mutta kun yritän kirjautua tilille jotta voisin konffata 2FA:n, kirjautuminen vaatii autentikaattorin koodin. Jota ei ole siis mahdollista saada. Hirmu kaivelun jälkeen löytyi jenkkien puhelinnumero, jossa helpparin robotti kyselee ummet ja lammet. Ja totesi lopuksi ettei kukaan pysty auttamaan ja luuri korvaan. Nyt minulla on Paypal acco jota en pääse käyttämään, resetoimaan tai edes lopettamaan.

Pitäkää tunkkinne. Helpommalla pääsi kun teki uuden tilin.

Pysykää kaukana Paypalin 2FA:sta. Tai olkaa viisaampia kuin minä ja varmistakaa että Paypalin 2FA on aktivoitu ainakin kahdessa laitteessa.
Siis tuossa tapauksessa se 2FA toimi juuri niinkuin pitääkin, mitä sillä tekisi, jos kuka vaan voisi jotain kautta sen resetöidä?
Sen takia pitäisi ottaa joko talteen ne palautuskoodit paperille, tai ennemmin varmuuskopioida ne 2FA tiedot useampaan paikkaan talteen, jos sattuu luuri hajoamaan. Nykyään taitaa lähes joka appi tukea varmuuskopiointia.

Ja tuo olisi parempi paikka keskustella asiasta:
 
Googlen autentikaattori ei vieläkään taida osata varmuuskopiointia, mutta tietojen siirto onnistuu kuitenkin näppärästi uuteen puhelimeen jos vanha on vielä käytettävissä. Eli aina kannattaa kuitenkin ne palautuskoodit olla tulostettuna ja tallessa.
 
Alkaa noissa topt MFA koodeissa olemaan sama ongelma kuin salasanoissa, eli jokaisella palvelulla on omansa ja pää hajoaa niiden kanssa puljaamiseen. Tulee laitettua noi kaikki vaan 1Passwordiin niin saa synkattua laitteiden välissä ja se osaa yleensä vielä täyttää ajantasaisen koodin oikeaan kenttään. Pitäisi jaksaa vielä kopioida noi Keepassiin ylimääräiseen jemmaan.

Mutta on sellaista säätöä, ettei noiden kanssa sementin sekoittaja pärjää kun ei meinaa pärjätä pelkän salasanankaan kanssa.
 
Siis tuossa tapauksessa se 2FA toimi juuri niinkuin pitääkin, mitä sillä tekisi, jos kuka vaan voisi jotain kautta sen resetöidä?
Sen takia pitäisi ottaa joko talteen ne palautuskoodit paperille, tai ennemmin varmuuskopioida ne 2FA tiedot useampaan paikkaan talteen, jos sattuu luuri hajoamaan. Nykyään taitaa lähes joka appi tukea varmuuskopiointia.
Ongelma erityisesti Paypalin kohdalla on että asiakaspalvelua ei saa ilman kirjautumista.
Paypalin 2FA:ssa ei tietääkseni ole palautuskoodeja? En ainakaan sellaisiin törmännyt.

Ongelma menee toki omaan piikkiin kun en varautunut yllättäviin ongelmiin. Mutta yhtä lailla syyllistän Paypalia olemattomasta asiakaspalvelusta. Se kun vaatii sen kirjautumisen. Kun tuossa googlailin asian tiimoilta, niin en todellakaan ole ensimmäinen, jolla 2FA nyt estää pääsemästä käsiksi tiliin, vailla mitään keinoa korjata tilannetta. Ja se on Paypalin vika, ei käyttäjän.
 
Ongelma erityisesti Paypalin kohdalla on että asiakaspalvelua ei saa ilman kirjautumista.
Paypalin 2FA:ssa ei tietääkseni ole palautuskoodeja? En ainakaan sellaisiin törmännyt.

Ongelma menee toki omaan piikkiin kun en varautunut yllättäviin ongelmiin. Mutta yhtä lailla syyllistän Paypalia olemattomasta asiakaspalvelusta. Se kun vaatii sen kirjautumisen. Kun tuossa googlailin asian tiimoilta, niin en todellakaan ole ensimmäinen, jolla 2FA nyt estää pääsemästä käsiksi tiliin, vailla mitään keinoa korjata tilannetta. Ja se on Paypalin vika, ei käyttäjän.
Mikäli Paypal olisi tarjonnut tuossa työntekijän puhelimen päähän, niin eikö ongelma olisi Paypalin kannalta ollut aika lailla sama? Eli asiakaspalvelun olisi pitänyt varmistaa, että sinä et ole joku kolmas osapuoli joka on kalastellut sähköpostisi salasanan tai saanut käyttöönsä vanhan puhelinnumerosi. Tarvittaisiin joku tieto, joka Paypalilla sinusta jo on, mutta jota sähköpostiin murtautuja ei historiastasi näe. Varmasti tuohon jotain keinoja löytyisi, mutta yleensä se vaatii asiantuntevan ihmisen työpanosta. Koska kyseessä on "ilmainen" palvelu, tavallaan ymmärrän miksi Paypal pitää helpompana uuden tilin luomista. Ja sanon tämän henkilönä, joka ei erityisesti pidä Paypalista ja toivoo että se saisi lisää kilpailijoita.

Edit: virhe tekstissä korjattu
 
Viimeksi muokattu:
Mikäli Paypal olisi tarjonnut tuossa työntekijän puhelimen päähän, niin eikö ongelma olisi Paypalin kannalta ollut aika lailla sama? Eli asiakaspalvelun olisi pitänyt varmistaa, että sinä et ole joku kolmas osapuoli joka on kalastellut sähköpostisi salasanan tai saanut käyttöönsä vanhan puhelinnumerosi. Tarvittaisiin joku tieto, joka Paypalilla sinusta jo on, mutta jota sähköpostiin murtautuja ei historiastasi näe. Varmasti tuohon jotain keinoja löytyisi, mutta yleensä se vaatii asiantuntevan ihmisen työpanosta. Koska kyseessä on "ilmainen" palvelu, tavallaan ymmärrän miksi Paypal pitää helpompana uuden tilin luomista. Ja sanon tämän henkilönä, joka ei erityisesti pidä Paypalista ja toivoo että se saisi lisää kilpailijoita.

Edit: virhe tekstissä korjattu
Kyllä, olet oikeassa. Entistä kummallisemmaksi asian tekee sen, että jotkut ihmiset ovat saaneet ongelman korjattua juurikin yhteistyössä aspan kanssa, tsättiä käyttäen ja lisätietoja tarjoten. Mutta tsätti ei ole käytettävissä kaikissa maissa, koska ... syyt? Ja jossain maissa taas tsättäämään pääsee ainoastaan kirjautumalla.

Suurin harmi tässä on etten muista onko minulla vanhalla tilillä mitään automaattiveloituksia päällä. Ei pitäisi olla, mutta varmuutta asiaan en siis saa. Onneksi Paypal-tilillä ei ole yhtään rahaa.

Koko ongelma ratkeasi sillä, jos 2FA:ssa olisi joku vaihtoehto. Esim. lähetä tekstiviesti tilille tallennettuun puhelinnumeroon. Joka ei pitäisi olla turvallisuusongelma, sillä jopa Paypalin salasanaa resetoitaessa saat juurikin tekstiviestillä väliaikaisen koodin. Mutta 2FA:ssa ei ole mitään vaihtoehtoa. Jos se on päällä ja et pysty 2FA:ta käyttämään, niin tilisi on mennyttä.
 
Suurin harmi tässä on etten muista onko minulla vanhalla tilillä mitään automaattiveloituksia päällä. Ei pitäisi olla, mutta varmuutta asiaan en siis saa. Onneksi Paypal-tilillä ei ole yhtään rahaa.
Tätä en huomannut ajatella. Tulee lisäongelmia helposti. Vähintään jos saman pankkitilin onnistunut liittäminen uuteen Paypal-tiliin ei välittömästi jäädytä automaattimaksuja muilla Paypal-tileillä, osoittaisin kyllä sormella Paypalia.

Koko ongelma ratkeasi sillä, jos 2FA:ssa olisi joku vaihtoehto. Esim. lähetä tekstiviesti tilille tallennettuun puhelinnumeroon. Joka ei pitäisi olla turvallisuusongelma, sillä jopa Paypalin salasanaa resetoitaessa saat juurikin tekstiviestillä väliaikaisen koodin. Mutta 2FA:ssa ei ole mitään vaihtoehtoa. Jos se on päällä ja et pysty 2FA:ta käyttämään, niin tilisi on mennyttä.
Totta. Kenties näissä tapauksissa voisi tehdä lisää "älyä" mukaan resetointipyyntöihin. Katsotaan IP-osoitetta, kellonaikaa, laitteen yksilöintitietoja, ja arvioidaan niiden perusteella riskiä mikäli 2FA-koodia ei enää saada. Tai sitten sallitaan pääsy tilille, mutta jäädytetään merkittävät rahansiirrot muutamaksi päiväksi. Näin mahdolliselle murron uhrille jää aikaa reagoida ilmoitukseen tietojen muuttumisesta.

Jotain sekin kertoo Paypalista, ettei juuri kukaan tuntemani ihminen säilytä Paypal tilillään rahaa. Vaikka ei itsellä ole ollut ongelmia, on sana kulkenut kuitenkin.
 
Tätä en huomannut ajatella. Tulee lisäongelmia helposti. Vähintään jos saman pankkitilin onnistunut liittäminen uuteen Paypal-tiliin ei välittömästi jäädytä automaattimaksuja muilla Paypal-tileillä, osoittaisin kyllä sormella Paypalia.
Kun Paypal heittäytyi täysin toistaitoiseksi, niin tuli mieleen itsellenikin pari mahdollista likaista konstia, jolla sitten sillat poltetaan Paypalin suuntaan kokonaan:

Ensimmäinen ajatus on että jos nyt Paypalilta tulee vielä jokin veloitus, niin Paypal-tiliin liitetyn luottokorttiyhtiön kautta reklamaatiota kehiin. Jos reklamaatio menee läpi niin perinteisesti Paypal vetää tuosta tempusta herneen nenään ja lakkauttaa tilin. Joka on siis pelkästään positiivinen asia.

Toinen on GDPR takedown pyyntö. Onkohan jotain kontaktia, minne GDPR-pyynnön voisi lähettää? Ehkä luomalla uusi tili ja sitä kautta GDPR pyyntö sisään, jolla poistetaan vanha tili?
Ainakin jossain muodossa noudattavat GDPR:ää.
 
Paypalin 2FA:ssa ei tietääkseni ole palautuskoodeja? En ainakaan sellaisiin törmännyt.
Eikös tuo käytä edelleen ihan perus google authenticatoria? Kyllä se recovery keyt sun nenän eteen tunkee kun uutta softaa/sivua sinne lisäät. Btw. aivan samaa tunnistusta käyttää io-tech. Ilmeisesti ei ole sinulla käytössä, kun pääset tänne kirjautumaan. ;)

Aloituspostauksessa on mainittuna Authy. Suosittelen. :tup:
 
Mitä Paypal vastasi kun kerto että olin jäädyttämässä itseäni suomessa enkä Australian kesää en ole nähnyt kuin unelmissa??

Onko kaverisi nyt tyytynyt jonkun huonotuulisen aspan 1-level henkilön hälläväliä-fiiliksellä tehtyyn päätökseen? Kyllä tuohon kaiken järjen mukaan saatte korjauksen.

Yleensä korjaus tulee hätäseen kun kertoo olevansa kykenevä ja motivoitunut käyttämään sosiaalista mediaa, vaikka ei mitenkään haluaisi, koska hommat on aikaisemmin toiminut.

Veikkaan että somellakaan uhkailua ei tarvita kun on sitkeä ja kertoo että tämä ei nyt käy.

Jaa-a olen käyttänyt paypalia 15v eikä ikinä ole ollut mitään ongelmia. Muutaman kerran olen joutunut tekemään reklamaation maksusta, johon Paypal antaa aina 90-päivää aikaa, jokaiselle maksulle. Kerran kävi esim. niin, että firma josta tilasin meni konkurssiin enkä saanut tilaustani paypal palautti rahat kun tein disputen ja tein asiallisen reklamaation asiasta. Esim. Suomalaiset pankit eivät olisi vastaavassa tilanteessa palauttaneet rahoja vaan kehottaneet ottamaan yhteyttä konkurssipesään.

Joku lapsellinen raivominen ja some kostot eivät näissä asioissa toimi, mutta asiallinen reklamaatio josta selviää mitä on käynyt, missä oli virhe ja mitä haluaa sille tehtävän toimii. Jos tekee asiallisen lakiin perustuvat reklamaation ja Paypal ei käsittele sitä lain mukaan he ovat kusessa kun asiasta tekee valituksen. Some raivoamalla taas usein on kusessa raivoaja itse jos kiihkossaan vahingossa ylittää sen rajan mikä ei enää pidäkään paikkaansa.
 
Suosittelen tarkoitukseen kolmannen osapuolen https://authy.com appia. Sen etu on mm. se, että samoja 2FA-tilejä (Two-factor authentication) voidaan käyttää useammassa eri laitteessa. Näin esim. puhelimen vaihto ei aiheuta tuskaa 2FA siirtämisen kanssa vanhasta laitteesta uuteen.

Ei Paypalin kaksivaiheiseen tunnistautumiseen tarvitse mitään kolmennen osapuolen sovelluksia sotkea. Paypalin mobiili oma appi kun ottaa käyttöön niin kirjautumiset pitää aina käydä hyväksymässä salasanan lisäksi paypalin mobiili appista esim. sormenjälkitunnistautumisella tai muulla tavalla mitä haluaa käyttää.

Muutenkin kuullostaa todella riskialtiilta alkaa latailemaan kolmannen osapuolen softia maksuliikenteen hoitoon johon firmalla itsellään on ihan omat applikaatiot.
 
Ei Paypalin kaksivaiheiseen tunnistautumiseen tarvitse mitään kolmennen osapuolen sovelluksia sotkea. Paypalin mobiili oma appi kun ottaa käyttöön niin kirjautumiset pitää aina käydä hyväksymässä salasanan lisäksi paypalin mobiili appista esim. sormenjälkitunnistautumisella tai muulla tavalla mitä haluaa käyttää.

Muutenkin kuullostaa todella riskialtiilta alkaa latailemaan kolmannen osapuolen softia maksuliikenteen hoitoon johon firmalla itsellään on ihan omat applikaatiot.
Millaisia riskejä olet tähän mennessä kohdannut kolmannen osapulen 2FA-autentikaattoreiden kanssa?
 
Ei Paypalin kaksivaiheiseen tunnistautumiseen tarvitse mitään kolmennen osapuolen sovelluksia sotkea. Paypalin mobiili oma appi kun ottaa käyttöön niin kirjautumiset pitää aina käydä hyväksymässä salasanan lisäksi paypalin mobiili appista esim. sormenjälkitunnistautumisella tai muulla tavalla mitä haluaa käyttää.

Muutenkin kuullostaa todella riskialtiilta alkaa latailemaan kolmannen osapuolen softia maksuliikenteen hoitoon johon firmalla itsellään on ihan omat applikaatiot.
Ideana on että ne kaikki 2FA:t on keskitettynä yhteen appikseen. Ihan yleisesti näitä käytetään työelämässäkin...
 
Muutenkin kuullostaa todella riskialtiilta alkaa latailemaan kolmannen osapuolen softia maksuliikenteen hoitoon johon firmalla itsellään on ihan omat applikaatiot.
Ei maksuliikenteen hoitoon, vaan 2fa authentikointiin. Haluatko että annan tähän oman 2fa avaimeni? Voin antaa. Se on voimassa 30 sekuntia ja yksinään sillä et tee yhtään mitään ilman salasanaa. ;)

Millaisia riskejä olet tähän mennessä kohdannut kolmannen osapulen 2FA-autentikaattoreiden kanssa?
Tämä.
 
Millaisia riskejä olet tähän mennessä kohdannut kolmannen osapulen 2FA-autentikaattoreiden kanssa?

En halua keskittää kaikkea autentikointia yhteen ja samaan palveluun, koska se alentaa turvallisuutta jos joku kaappaa salausavaimen jolla generoidaan kertakäyttöavaimet kaappaa se samalle autentikointi tiedot kaikkiin palveluihin mitä käytä (jos samaa autentikaattoria käytetään kaikkialla). Samasta syystä en käytä samaa salasanaakaan kaikkialla, jotta yhden salasanan kaappaminen ei vaaranna kirjautumista kaikkialle.

Esimerkiksi tuon sovelluksen omilla authy appin omilla sivuilla kerrotaan, että salausavain, jolla kertakäyttöavaimet generoidaan tallennetaan firman pilveen, joten se on jo lähtökohtaisesti ulkopuolisten tiedossa firman pilvessä.

Tämän lisäksi tulee vielä se kolmannen osapuolen riski en halua hajauttaa kirjautumiseen ja maksuliikenteeseen liittyviä riskejä monelle eri osapuolelle, koska jos asiassa kusee joku siitä syntyy juridisia ongelmia ajaa omia oikeuksiaan kun vastuu on hajautettu epäselvästi sinne ja tänne. Kun käytän jonkun palvelun omaa appia silloin vastuu siitä, että kaikki palveluun liittyvä toimii kyseisen puljun vastuulla on juridisesti selkeämpi.
 
Viimeksi muokattu:
jos joku kaappaa salausavaimen jolla generoidaan kertakäyttöavaimet kaappaa se samalle autentikointi tiedot kaikkiin palveluihin mitä käytä (jos samaa autentikaattoria käytetään kaikkialla). S.
Eikä kaappaa. Autentikoinnin kenties tärkein tieto (salasana) puuttuu.
Esimerkiksi tuon sovelluksen omilla authy appin omilla sivuilla kerrotaan, että salausavain, jolla kertakäyttöavaimet generoidaan tallennetaan firman pilveen, joten se on jo lähtökohtaisesti ulkopuolisten tiedossa firman pilvessä.
Salausavaimen kaappaamisella ei tee yhtään mitään tietämättä myös palveluun soveltuvaa salasanaa. Authyn tapauksessa, salasanoja ei tallenneta samaan palveluun joten syytä huoleen ei ole. Se että avaimet säilytetään pilvessä ei välttämättä tarkoita että avaimia säilytettäisiin selkokielisessä muodossa.
 
Eikä kaappaa. Autentikoinnin kenties tärkein tieto (salasana) puuttuu.

Salausavaimen kaappaamisella ei tee yhtään mitään tietämättä myös palveluun soveltuvaa salasanaa. Authyn tapauksessa, salasanoja ei tallenneta samaan palveluun joten syytä huoleen ei ole. Se että avaimet säilytetään pilvessä ei välttämättä tarkoita että avaimia säilytettäisiin selkokielisessä muodossa.

Fakta nyt kuitenkin on keskittämällä kaiken autentikoinnin yhteen ja samaan palveluun alentaa turvallisuutta verrattuna siihen, että käyttää eri autentikaattoria eri palveluissa sen salasanan lisäksi.
 
Paypalin 2FA on ... perseestä!

Minulla kävi niin että oli aktivoinut Paypalin 2FA:n, jossa oman puhelimeni appi hoitaa autentikoinnin toisen osan. So far so good - hyvin se toimi.
Mutta sattuneista syistä johtuen jouduin resetoimaan puhelimeni, jolloin autentikointi hävisi luonnollisesti myös. Tuumasin että kai tuon 2FA:n saa jotenkin resetoitua Paypalin sivuilla.

TL;DR Kaikki yritykset saada uudelleenaktivoitua 2FA puhelimeeni on todettu mahdottomaksi.

Joo, salasanan saa kyllä resetoitua ja Paypal osaa jopa lähettää väliaikaisen vahvistuskoodin tekstarina, mutta kun yritän kirjautua tilille jotta voisin konffata 2FA:n, kirjautuminen vaatii autentikaattorin koodin. Jota ei ole siis mahdollista saada. Hirmu kaivelun jälkeen löytyi jenkkien puhelinnumero, jossa helpparin robotti kyselee ummet ja lammet. Ja totesi lopuksi ettei kukaan pysty auttamaan ja luuri korvaan. Nyt minulla on Paypal acco jota en pääse käyttämään, resetoimaan tai edes lopettamaan.

Pitäkää tunkkinne. Helpommalla pääsi kun teki uuden tilin.

Pysykää kaukana Paypalin 2FA:sta. Tai olkaa viisaampia kuin minä ja varmistakaa että Paypalin 2FA on aktivoitu ainakin kahdessa laitteessa.
Tasan sama kokemus Uplayn 2FA:n kanssa. Se oli jotenkin tuossa google authenticator-sovelluksessa toisena tilinä, vaan puhelimen resetoinnin jälkeen eipä ole enää. No onneksi siellä oli joku yksi rautaostoksen mukana tullut peli ja uutta accoa pystyyn kun sain toisen pelin.
 

Statistiikka

Viestiketjuista
258 658
Viestejä
4 495 297
Jäsenet
74 267
Uusin jäsen
Midwinter

Hinta.fi

Back
Ylös Bottom