Oui, vous pouvez contourner la connexion par code de sécurité de PayPal
- Catégorie: Sécurité
Quand j'ai remarqué un paiement non autorisé effectué avec mon PayPal compte en 2008, j'ai immédiatement commandé un Dispositif de protection d'identité VeriSign pour ajouter une deuxième couche de protection au processus de connexion sur le site. Fondamentalement, au lieu de me connecter à PayPal avec l'adresse e-mail et le mot de passe, je suis maintenant invité à saisir un code de sécurité généré par l'appareil en plus de cela. Le code généré par l'appareil est valide pendant 30 secondes au maximum, après quoi il est automatiquement invalidé.
C'est en théorie suffisant pour protéger le compte des enregistreurs de frappe, des chevaux de Troie et même de quelqu'un qui regarde par-dessus votre épaule pendant que vous vous connectez à PayPal. Deux problèmes doivent être résolus ici. Tout d'abord, que se passe-t-il lorsque vous perdez l'accès au dispositif de protection? Comment pouvez-vous alors vous connecter à PayPal? Deuxièmement, que se passe-t-il si vous oubliez votre mot de passe?
Un nouvel article sur Sécurité nue - super blog au fait - met en évidence une faille potentielle dans le système. Lorsque vous oubliez votre mot de passe PayPal, vous pouvez récupérer le compte en entrant deux mots de passe secondaires que vous avez sélectionnés lors de votre inscription. À l'aide de ces deux mots de passe, vous pouvez vous connecter à votre compte PayPal et faire tout ce que vous pouvez faire normalement, sans avoir à fournir au préalable un jeton de sécurité.
Vous pourriez dire maintenant que ce n'est pas vraiment un problème, car vous devez entrer deux mots de passe pour vous connecter. Le problème ici est cependant que la saisie des deux mots de passe pour se connecter à PayPal fournit aux attaquants, via l'utilisation d'un keylogger par exemple, avec toutes les informations nécessaires pour accéder au compte complet.
PayPal demande d'abord l'adresse e-mail du compte, avec des options pour la récupérer également en saisissant des candidats potentiels si vous avez oublié l'adresse e-mail que vous utilisez sur PayPal. Vous obtenez un lien dans cet e-mail qui vous dirige vers une page de récupération. Selon les paramètres de votre compte, vous pouvez avoir plusieurs options ici. J'ai par exemple eu la possibilité de saisir un numéro de carte de crédit associé au compte ou de répondre aux questions de sécurité.
Ces questions de sécurité sont constituées des questions habituelles «nom de naissance de votre mère, ami d'enfance ou hôpital où vous êtes né». Veuillez noter qu'il est fortement recommandé ne pas répondre correctement aux questions lors de la configuration, car il est autrement possible de deviner ou de concevoir ces réponses pour accéder au compte.
Le processus contourne complètement le dispositif de protection, ce qui n'est pas vraiment clair pourquoi cela se produit. Si vous avez seulement oublié votre mot de passe, vous devriez toujours avoir accès à l'appareil, de sorte que vous puissiez toujours générer un code dans le cadre du processus de connexion.
La possibilité de récupérer le mot de passe sans avoir à passer par un long processus de vérification par téléphone ou en envoyant des documents à PayPal pour vérifier votre identité est certainement pratique, mais la sécurité devrait être plus importante que cela.
Quelle est votre opinion sur les résultats?