贝宝的2FA安全真的这么糟糕吗？

Question

我现在是指这一领域的专家，甚至是精通的，但如果有可能做到这一点，我无法理解贝宝如何允许它。

假设你有两个因素的认证，以你的手机设置为设备。

你丢了手机就有人找到了。他们迅速打开电子邮件，他们看到你有一个贝宝帐户，他们决定访问它。

他们在Paypal上，点击“忘记密码”。Paypal提供了几个选项来确认您是所有者：

• 让他们给你打电话
• 回答安全问题
• 接收带有确认代码的SMS文本

这个人已经有了你的手机，他们选择短信选项。他们得到短信短信的代码，重置密码，他们加入了。

真的？就这样?失去你使用的手机2要素认证，基本上意味着你可以让一个陌生人快速进入你的帐户，如果他们找到它？

这是如此明目张胆的stupid...In情况下，一个人想要重置密码，问题总是应该问，无论他们是否得到了2 FA设备。

Answer 1

是的。如果你的电子邮件在你的手机上没有保护，并使用你的手机作为第二个因素，实际上你的手机成为唯一的因素。因此，使用PIN保护您的手机和加密它-或根本不使用手机。

或者，如果你的手机松了，你应该预先定义一些措施(比如重新设置你的电子邮件密码，这样你的手机就不会收到任何电子邮件了)。

许多年前，paypal提供了一个硬件令牌作为2fa。我只有一个账户，没问题。问题是:他们不再这样做了。下一个问题是，paypal显然有一个不好的SMS网关。有时候，短信需要很长时间才能到达。如果你想“快”送点钱，那就更糟了。

Answer 2

真的？就这样?失去你使用的手机2要素认证，基本上意味着你可以让一个陌生人快速进入你的帐户，如果他们找到它？

手机既是第二个因素，又能接触到其他因素。

没有某种PIN，密码，脸ID，触摸ID，或其他锁定机制是你实际面临的问题。如果你要用手机作为安全装置，就把它当作安全装置。用锁。

即使没有PayPal 2FA (和任何其他)，如果有人能找到你的手机，很容易解锁(或者根本没有锁)，并检索你的电子邮件，你就会遇到很多各种各样的问题:所有允许基于电子邮件的密码重置的网站现在都可供查找者使用，而在亚马逊或类似网站上疯狂购物将是一个很容易的下一步。