Frage:
Neue Zahlungsoption bei Paypal "Geben Sie Ihre Online-Banking-ID + Ihr Passwort ein": Gibt es einen Mechanismus, der dies sicher machen könnte?
Nicolas Raoul
2014-09-24 14:29:32 UTC
view on stackexchange narkive permalink

Paypal hat eine neue Zahlungsoption namens "Bankkonto", die besagt:

Geben Sie Ihre Online-Banking-ID + Passwort ein

Paypal: Enter your online banking ID + password

FRAGE : Für mich klingt es unsicher (dh: sendet mein Passwort an eine Drittanbieterorganisation wie Paypal), aber gibt es tatsächlich Sicherheitsmechanismen / -protokolle, die sie verwenden könnten? um diesen Vorgang sicher zu machen?

Hinweise: Von Japan aus gesehen beginnt die URL unter Firefox 32.0 Ubuntu 2014.04 mit https://www.paypal.com/ Paypal: Enter your online banking ID + password Das Warnsymbol in der URL lautet "Verbindung teilweise verschlüsselt".

Denken Sie daran, wenn Sie Zweifel an Ihrer Bankkontosicherheit haben, wie hier, rufen Sie immer Ihre Bank an! Besonders wenn Sie Websites sehen, die nach Ihren Bankdaten fragen
Das ist die kreativste Form der Bildzensur, die ich je gesehen habe.
Ich hoffe wirklich, dass er Paprika im Wert von 120 Dollar kauft.
* Wird mein Passwort an Paypal gesendet? * Ja, aber über russische Hacker, so dass es garantiert sicher ist. ;)
Stellen Sie sich vor, alle Regierungsdokumente würden mit Paprika anstelle von schwarzen Linien redigiert.
Upvoted für die Paprika.
Erster guter Gebrauch dieser sinnlosen GIMP-Bürste: D.
Ich würde nicht in die Nähe kommen.
Übrigens gibt es andere, ähnliche Dienste, bei denen Sie Ihre Bankdaten angeben und die das Bankgeschäft für Sie erledigen. In Deutschland beispielsweise ist die Sofortüberweisung mäßig beliebt - https://www.sofort.com/. Sie behaupten, sicher zu sein, aber Banken verbieten ihre Verwendung, da dies gegen ihre AGB verstößt.
Fünf antworten:
Adi
2014-09-24 14:55:32 UTC
view on stackexchange narkive permalink

Sobald Sie dieses Formular gesendet haben, gehen die Informationen eindeutig an PayPal. Ja, Ihr Passwort wird definitiv an PayPal gesendet. PayPal gibt jedoch an, dass es nur Ihre Bankkontodaten verwendet, um Ihr Konto zu bestätigen / zu verifizieren.

Es scheint, dass PayPal Ihre Informationen nimmt und sie dann an Ihre sendet Online-Banking-Anbieter zur Überprüfung. Was PayPal danach mit Ihren Anmeldeinformationen macht, ist unbekannt. Sie können es für zukünftige Zahlungen speichern oder nach dem Überprüfungsprozess verwerfen.

In einer Zeile: Ja, Ihr Bankkennwort geht an PayPal. Ist es schlimm? Nun, es hängt davon ab, wie sehr Sie PayPal vertrauen.

Im Vergleich dazu haben wir in Finnland ein völlig anderes System mit PayPal. Wenn PayPal das Bankkonto überprüfen oder vom Bankkonto abheben muss, werden Sie direkt zur Online-Banking-Seite der Bank weitergeleitet. Sie melden sich dort an und werden dann zurück zu PayPal weitergeleitet. Sie erhalten nur einen Bestätigungstoken von der Bank. Das System heißt TUPAS.

"Es hängt davon ab, wie sehr Sie PayPal vertrauen." - Ich weiß nicht, was in den USA typisch ist, aber hier in Großbritannien fordert meine Bank mich auf, mein Online-Banking-Passwort * nicht an ihre eigenen Mitarbeiter * weiterzugeben, ganz zu schweigen von einem unabhängigen Mitarbeiter Organisation. Es hängt nicht nur davon ab, wie sehr Sie PayPal vertrauen, sondern auch davon, wie sehr Ihre Bank PayPal vertraut. Wenn Sie ihnen Ihr Passwort anvertrauen, Ihre Bank jedoch nicht, und Ihre Bank herausfindet, was Sie getan haben (z. B. weil sie Anmeldungen von PayPal-Servern erkennen), dann stelle ich mir vor, dass Sie in ihren schlechten Büchern sind ;-)
@SteveJessop hier in den USA ist es sehr unterschiedlich. Ich wette, es gibt einige Banken, die den gleichen Rat anbieten, aber viele Leute ignorieren ihn wahrscheinlich - und diejenigen, die dies normalerweise nicht tun, würden sowieso nie ein Passwort teilen. Aber Ihr anderer Punkt, den die Bank herausfinden soll, ist gut. In vielen Fällen steht in den Nutzungsbedingungen einer Website (Bankwesen oder andere), dass Sie Ihr Passwort niemals an Dritte weitergeben dürfen.
TUPAS klingt übrigens sehr nach OAuth ...
@SteveJessop Obwohl ich mit Sicherheit einverstanden bin, dass das Senden der Creds Ihrer Bank an PayPal wahrscheinlich die AGB Ihrer Bank verletzt (ähnlich wie bei Mint.com), halte ich dies in diesem Zusammenhang dennoch für irrelevant. Das Brechen der AGB Ihrer Bank ist ein rechtliches Problem, während die Frage, ob die Creds an PayPal gesendet werden, eine technische Sicherheitsfrage ist. In jedem Fall bin ich froh, dass Sie es erwähnt haben.
@DavidZ In der Tat ist es. Es implementiert auch die Zwei-Faktor-Authentifizierung mit OTPs.
Was??? Sicher???? Sollte niemand die Warnung zu gemischten Inhalten erwähnen? Auf einer Seite, auf der Sie wiederverwendbare Anmeldeinformationen eingeben. Könnte durch DNS-sppofing, durch blindes Weiterleiten des HTTPS, aber durch Injizieren von Cross-Site-Scripting über die unverschlüsselten Teile der Seite zu einem MITM-Angriff neigen.
@Falco Ha?! Dieses Dreiecksinformationszeichen ist keine Warnung mit gemischtem Inhalt. Es teilt dem Benutzer mit, dass der Server keine vollständigen Identitätsinformationen im Zertifikat bereitstellt. Überhaupt kein großes Problem.
@Adnan laut Paypal Community-Forum ist die Seite gemischter Inhalt: https://www.paypal-community.com/t5/How-to-use-PayPal-Archive/Connection-Encrypted/td-p/25597 Was genau ist Was die Firefox-Warnung "Teilweise verschlüsselt" bedeutet - und was auch im Klartext steht "Nur Teile dieser Seite sind verschlüsselt, einige Bilder oder andere Ressourcen werden über einfaches http geladen."
Wäre es nicht (theoretisch) möglich, das Senden des Passworts auf sichere Weise zu implementieren, indem ein Hash durch ein lokales Skript auf dem Computer des Benutzers generiert und nur dieser an PayPal gesendet wird? Zu Überprüfungszwecken wäre dies ausreichend und dennoch sicher - oder irre ich mich?
@Falco Entschuldigung, Sie haben Recht mit einer Sache. Es handelt sich in der Tat um eine Warnung zu gemischten Inhalten, die durch das Händlerlogo ausgelöst wird (das einzige, was über einfaches HTTP übertragen wird). In diesem Fall ist es auch überhaupt kein Problem. Es ist ein Bild. Das Schlimmste, was passieren kann, ist, dass MiTM das Bild möglicherweise in ein anderes Bild ändert, keine große Sache. Außerdem liefern Browser keine Referrer-Informationen von HTTPS zu HTTP, sodass dies ebenfalls behandelt wird. Alles in allem liegst du falsch, du bist überreagiert und ja, es ist sicher.
@Adnan Again: Wenn der Benutzer fragt "Ist es im Allgemeinen sicher, wichtige Anmeldeinformationen für Banken auf einer Seite einzugeben, wenn mein Browser eine Warnung mit gemischten Inhalten anzeigt", lautet die Antwort NEIN !!! Selbst wenn es sich im Moment nur um ein Image handelt, kann sich dies in Zukunft ändern und Sie werden nicht erkennen, ob unsicheres JS über HTTP geladen wird, da Sie Ihre Browser-Warnung ignorieren! Gemischte Inhalte stellen ein mögliches Sicherheitsrisiko dar und sollten nicht ignoriert werden!
Und es könnte einen Angriffsvektor per Bildinjektion geben, möglicherweise mit einem falschen MIME-Typ, Pufferüberlauf oder einem SVG-Skript ... Obwohl es derzeit keine gibt, die ich in aktuellen Browsern kenne
@Falco Umm .. nein? Weil die unsicheren JS / CSS- und unsicheren Bildwarnungen völlig unterschiedlich sind. Die Warnung für unsichere Bilder ist eine kleine Warnung, und Sie müssen nichts dagegen tun (Standardeinstellungen sind zulässig). Die unsichere JS / CSS-Warnung ist jedoch eine Warnung, die Ihnen ausdrücklich mitteilt, dass es sich um ein Skript handelt und Sie einige Aktionen ausführen müssen Laden Sie es (standardmäßig zu verweigern).
@schnaader, das wäre nicht sicher. In diesem Fall würde der Hash selbst zum Passwort. Wenn Sie den Hash in die Hände bekommen haben (ob durch DB-Lecks oder etwas anderes), können Sie ihn durchschicken, und es wird überprüft, dass Sie den Hash nicht brechen müssen. Diese Art von Angriff wurde als [pass-the-hash] (https://en.wikipedia.org/wiki/Pass_the_hash) bezeichnet und betraf bekanntermaßen Windows-Konten.
bobince
2014-09-24 18:51:45 UTC
view on stackexchange narkive permalink

Wird mein Passwort an Paypal gesendet?

Ja. Die Weitergabe Ihres Passworts an PayPal kann einen Verstoß gegen die Allgemeinen Geschäftsbedingungen Ihrer Bank darstellen und / oder Sie persönlich für Betrug haftbar machen, der über dieses System erfolgt. Auch PayPal kann die mit diesem Konto verknüpften persönlichen Informationen und den Transaktionsverlauf anzeigen. Ich hoffe, Sie vertrauen PayPal jetzt wirklich gut!

Oder gibt es eine Art Protokoll, an dem der Server der Bank beteiligt ist, wodurch dies tatsächlich sicher ist?

PayPal ist am besten Möglicherweise werden automatisierte Screen-Scraping-Skripte ausgeführt, die versuchen, sich in Ihrem Namen bei der normalen Online-Banking-Website anzumelden und die Übertragung durchzuführen. Dies ist offensichtlich ziemlich fragil und kann brechen, wenn Banken ihre Websites aktualisieren. Es ist wahrscheinlich, dass einige Banken mit PayPal zusammenarbeiten, um dieses Risiko zu verringern.

Dieser Ansatz wurde bereits mehrfach durchgeführt, z. B. von sofort.com in Deutschland. Ich bin enttäuscht zu sehen, dass PayPal auch dieses Zahlungsmodell nutzt. Während der Rest des Webs an Verbundauthentifizierungs- / Autorisierungsschemata arbeitet, mit denen Sie bestimmte Transaktionen genehmigen können, ohne die Schlüssel für das Königreich an andere Teilnehmer (OAuth, SAML usw.) übergeben zu müssen, ist die Finanzwelt erneut auf Bequemlichkeit ausgerichtet Legacy-Kompatibilität über Sicherheit.

Was ist mit Banken, die eine einfache Passwortauthentifizierung verwenden? In Schweden verwenden alle (afaik) Banken eine Art PIN-geschütztes physisches Token (manchmal ist dieses Token Ihr Kreditkartenchip) zur Authentifizierung.
Als Sofort dies für deutsche Banken mit TANs tat, mussten Sie eine TAN separat eingeben, um sie im Login zu verwenden. Ich glaube, sie sind auch in der Mitte des CAP-Prozesses (Chip + PIN Home Signer Ding). Ich weiß nicht, ob PayPal dasselbe tut oder ob die unterstützten US-Banken ähnliche 2FA-Methoden verwenden. Es scheint mir unverantwortlich zu sein, Benutzer dazu zu ermutigen, Bankkennwörter und 2FA-Token in eine Website eines Drittanbieters einzugeben (was Phishing fördert).
Entschuldigung, aber Ihre Antwort ist nur reine Spekulation !! "..Running Screen-Scraping-Skripte .." ".. ziemlich zerbrechlich .. riskiert zu brechen .." Was? Ja, es * kann * auf diese Weise implementiert werden, wahrscheinlich nicht (wenn man bedenkt, wie groß PayPal ist), aber Tatsache ist, dass Sie es nicht wissen und ich es nicht weiß. Also fang bitte nicht einfach an, Dinge zu erfinden
Ja, bis wir hier einen tatsächlichen PayPal-Entwickler haben, der definitiv beschreibt, wie es funktioniert, kann jeder von uns nur spekulieren. Ich spekuliere, dass es ähnlich wie die vorhandenen Dienste funktioniert, die die gleiche Benutzererfahrung bieten.
Aaa
2014-09-24 18:18:35 UTC
view on stackexchange narkive permalink

Ihre Daten gehen an PayPal, das sie wahrscheinlich verwendet, um sich bei Ihrem Bankkonto anzumelden. Auf diese Weise können sie überprüfen, ob Ihre Informationen gültig sind.

Technisch gesehen können sie jedoch auch andere Informationen sehen. Alles, was Sie nach dem Anmelden sehen (Ihr Kontostand, die verschiedenen Ein- / Auszahlungen), ist für sie sichtbar, und sie können dies speichern oder nicht. Technisch gesehen können sie auch jede andere Funktion aufrufen, für die Sie keine andere Form der Authentifizierung benötigen.

Das Risiko ist also eine Sache. Die andere Sache ist, ob Ihre Bank dies tatsächlich zulässt. Viele Banken verlangen, dass Sie Ihre Zugangsdaten vertraulich behandeln. Durch die Verwendung dieser Funktion verletzen Sie diese Vereinbarung, indem Sie Ihre Zugangsinformationen an Dritte weitergeben.

+1 für "Banken verlangen, dass Sie Ihre Zugangsdaten vertraulich behandeln". Fragen Sie Ihre Bank, ob dies erlaubt ist! Wahrscheinlich sieht es so aus, als würden sie nur eine kleine Anzahl großer Banken unterstützen, also haben sie wahrscheinlich eine Vereinbarung mit ihnen getroffen. Aber ich würde immer noch nicht in die Nähe kommen.
So traurig, dass wir in einer Welt leben, in der ein Unternehmen, das mit Ihrem Geld Geld verdient, Ihnen am Ende des Tages immer noch sagen kann, was Sie sind und mit dem Geld, das Sie so freundlich von ihnen halten lassen, nichts anfangen dürfen auf zu'.
Stimmt, aber bis zu einem gewissen Punkt müssen Sie sie verstehen - Sie geben ihnen im Wesentlichen die Schlüssel für Ihr Bankkonto. Ich habe ein Konto bei einer ziemlich großen Bank in Zentral-USA, und jemand könnte es buchstäblich mit dem richtigen Benutzernamen und Passwort leeren. Selbst wenn Sie PayPal vertrauen, machen Dienste wie diese Benutzer anfälliger dafür, ihre Wachsamkeit zu verlieren und zu denken, dass es in Ordnung ist, ihre Passwörter weiterzugeben. Es ist eine schlechte Angewohnheit, anzufangen.
@Mike, Die Bank diktiert nicht, was Sie mit Ihrem Geld machen. Woher haben Sie diese Idee? Die Bank sagt lediglich: "Wenn Sie einem anderen Zugang gewähren, sind wir nicht mehr für den Schutz Ihrer Gelder verantwortlich." Was macht durchaus Sinn, wie kann die Bank Ihr Geld schützen, wenn Sie jedem und jeder Zugang gewähren?
@ChrisMurray Ich muss seine Bedeutung missverstanden haben, indem ich sagte, dass "gegen diese Vereinbarung verstoßen". Ich nehme an, dies bedeutet, dass sie keine Verantwortung für negative Ereignisse übernehmen, was Sinn macht, aber ich würde mir bei einem seriösen Unternehmen wie Paypal keine Sorgen machen.
Sun
2014-09-30 10:39:12 UTC
view on stackexchange narkive permalink

Ich habe ein Login und ein Passwort, das schreibgeschützt ist. Das ist das Login, das ich benutze, wenn Websites wie Paypal danach fragen. Ich verwende auch das schreibgeschützte Konto für meine Beschleunigungssoftware. Wenn Sie neugierig sind, was Paypal mit den Anmeldedaten macht, lesen Sie die Benutzervereinbarung oder wenden Sie sich an den Support, um weitere Informationen zu erhalten.

akostadinov
2019-10-09 00:31:01 UTC
view on stackexchange narkive permalink

Ich denke, andere Antworten erklären gut das Risiko, PayPal Ihr Passwort zu geben. Ich denke, das größere Problem hier ist, dass den Benutzern auf diese Weise beigebracht wird, dass sie manchmal jemandem ein Passwort geben können. Dies ist IMO extrem schlecht und dumm und ich bin sehr enttäuscht von PayPal dafür.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...