Да, вы можете обойти вход в систему с помощью кода безопасности PayPal
Когда я заметил несанкционированный платеж с помощью моего PayPal аккаунт в 2008 году я сразу заказал Устройство VeriSign Identity Protection чтобы добавить второй уровень защиты к процессу входа на сайт. По сути, вместо того, чтобы войти в PayPal с адресом электронной почты и паролем, меня теперь просят ввести код безопасности, сгенерированный устройством поверх этого. Код, сгенерированный устройством, действителен не более 30 секунд, после чего автоматически становится недействительным.
Теоретически этого достаточно, чтобы защитить учетную запись от кейлоггеров, троянов и даже тех, кто смотрит вам через плечо, пока вы входите в PayPal. Здесь есть две проблемы, которые необходимо решить. Во-первых, что произойдет, если вы потеряете доступ к устройству защиты? Как тогда вы можете войти в PayPal? Во-вторых, что произойдет, если вы забудете свой пароль?
Новая статья о Голая безопасность — кстати, отличный блог — указывает на потенциальную ошибку в системе. Если вы забыли свой пароль PayPal, вы можете восстановить учетную запись, введя два дополнительных пароля, которые вы выбрали во время регистрации. С помощью этих двух паролей вы можете войти в свою учетную запись PayPal и делать все, что вы обычно можете делать, без необходимости предварительно предоставлять токен безопасности.
Теперь вы можете сказать, что на самом деле это не проблема, так как вам нужно ввести два пароля для входа в систему. Проблема, однако, заключается в том, что ввод двух паролей для входа в PayPal дает злоумышленникам возможность, например, с помощью кейлоггера со всей информацией, необходимой для доступа к полной учетной записи.
PayPal сначала запрашивает адрес электронной почты учетной записи, с возможностью восстановить его, введя потенциальных кандидатов, если вы забыли, какой адрес электронной почты вы используете в PayPal. В этом электронном письме вы получите ссылку, которая приведет вас на страницу восстановления. В зависимости от настроек вашей учетной записи здесь может быть несколько вариантов. У меня, например, есть возможность ввести номер кредитной карты, связанной с учетной записью, или ответить на контрольные вопросы.
Эти контрольные вопросы состоят из обычных вопросов типа «имя при рождении вашей матери, друга детства или больница, в которой вы родились». Обратите внимание, что это настоятельно рекомендуется не отвечать на вопросы правильно во время настройки, поскольку в противном случае можно угадать эти ответы или получить доступ к аккаунту с помощью социальной инженерии.
Процесс полностью обходит устройство защиты, что не совсем понятно, почему это происходит. Если вы только что забыли свой пароль, у вас все равно должен быть доступ к устройству, чтобы вы все еще могли сгенерировать код как часть процесса входа в систему.
Возможность восстановить пароль без необходимости проходить длительный процесс проверки по телефону или путем отправки документов в PayPal для подтверждения вашей личности, безусловно, удобна, но безопасность должна быть важнее этого.
Как вы относитесь к результатам?
