PayPal Deutschland führt SMS-Sicherheitsschlüssel ein
Ab sofort können auch deutsche PayPal-Nutzer den Zugang zu ihren Konten durch eine Einmal-Passwort schützen, das per SMS versandt wird.
(Bild: PayPal)
Seit dem heutigen Freitag können Benutzer des Online-Bezahldienstes PayPal ihr Konto mit einem SMS-Sicherheitsschlüssel schützen. Sie erhalten dann etwa fünf bis zehn Sekunden nach dem Einloggen eine SMS mit einem Passwort aus sechs Ziffern, das sie zusätzlich zum bisher schon genutzten eingeben müssen. Das per SMS empfangene Passwort gilt nur für eine Anmeldung und läuft bei Nichtbenutzung nach etwa einer Minute ab.
Der SMS-Sicherheitsschlüssel arbeitet nach demselben Prinzip, wie der Sicherheitsschlüssel, den PayPal bereits seit zwei Jahren für 4,95 Euro anbietet. Dieses kleine Token von Versign läuft zeitsynchron mit Servern bei PayPal und zeigt auf Knopdruck ein aktuell gültiges, sechsstelliges Einmal-Passwort an. PayPal hofft, dass der SMS-Sicherheitsschlüssel bei den deutschen Nutzern mehr Anklang findet als das Token. Denn die Nutzung ist komplett kostenlos; lediglich im Ausland berechnen die Mobilfunkprovider je nach Vertrag eventuell ein Entgelt für den Empfang der SMS. Darüber hinaus ist das System bequemer, denn man muss nur einmal die Handy-Nummer bei PayPal hinterlegen. Und während man das Token gerne mal vergisst, hat man das Handy meist bei sich. Allerdings kann der SMS-Sicherheitsschlüssel – anders als das Token – derzeit noch nicht genutzt werden, um Mitgliederkonten beim Online-Marktplatz eBay zu schützen. PayPal ist ein Tochterunternehmen von eBay.
Die Einmal-Passwörter verbessern die Sicherheit von PayPal-Konten im Vergleich zum statischen Passwort erheblich. Per Keylogger eingesammelte Zugangsdaten sind dann wertlos; selbst die Spuren, die man etwa bei der Nutzung von PayPal auf einem fremden Rechner hinterlässt, reichen nicht, um auf das Konto zuzugreifen. Phishing funktioniert nur, falls der Angreifer nicht nur Daten sammelt, sondern in Form einer Man-in-the-Middle-Attacke Transaktionen in Echtzeit verändert. Solche Angriffe hat es in den USA auf Bankkonten, die durch ein Sicherheits-Token geschützt wurden, bereits gegeben. Doch solange noch genügend PayPal-Konten ohne Schutz durch einen Sicherheitsschlüssel sind, ist die Wahrscheinlichkeit für ein solches Angriffsszenario eher gering. (ad)
