Sí, puede omitir el inicio de sesión del código de seguridad de PayPal

• Categoría: Seguridad

Pruebe Nuestro Instrumento Para Eliminar Los Problemas

Seleccione El Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Elija Un Programa De Proyección (Opcionalmente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Describe Tu Problema

Obtén Una Respuesta

Envíame Por Correo Electrónico Mostrar En El Sitio

Cuando noté un pago no autorizado realizado con mi PayPal cuenta en 2008, ordené inmediatamente una Dispositivo de protección de identidad VeriSign para agregar una segunda capa de protección al proceso de inicio de sesión en el sitio. Básicamente, en lugar de iniciar sesión en PayPal con la dirección de correo electrónico y la contraseña, ahora se me pide que ingrese un código de seguridad generado por el dispositivo además de eso. El código generado por el dispositivo es válido durante 30 segundos como máximo, después de lo cual se invalida automáticamente.

En teoría, eso es suficiente para proteger la cuenta de keyloggers, troyanos e incluso de alguien que esté mirando por encima del hombro mientras inicia sesión en PayPal. Aquí hay dos cuestiones que deben abordarse. Primero, ¿qué sucede cuando pierde el acceso al dispositivo de protección? Entonces, ¿cómo puede iniciar sesión en PayPal? En segundo lugar, ¿qué pasa si olvidas tu contraseña?

Un nuevo artículo sobre Seguridad desnuda - gran blog por cierto - destaca una falla potencial en el sistema. Cuando olvide su contraseña de PayPal, puede recuperar la cuenta ingresando dos contraseñas secundarias que haya seleccionado durante el registro. Con la ayuda de estas dos contraseñas, puede iniciar sesión en su cuenta de PayPal y hacer todo lo que puede hacer normalmente, sin tener que proporcionar primero un token de seguridad.

Ahora podría decir que esto no es realmente un problema, ya que debe ingresar dos contraseñas para iniciar sesión. Sin embargo, el problema aquí es que ingresar las dos contraseñas para iniciar sesión en PayPal proporciona a los atacantes, mediante el uso de un keylogger, por ejemplo, con toda la información necesaria para acceder a la cuenta completa.

PayPal solicita primero la dirección de correo electrónico de la cuenta, con opciones para recuperarla también escribiendo candidatos potenciales si ha olvidado qué correo electrónico utiliza en PayPal. Obtiene un enlace en ese correo electrónico que lo lleva a una página de recuperación. Dependiendo de la configuración de su cuenta, puede tener varias opciones aquí. Por ejemplo, tengo la opción de ingresar un número de tarjeta de crédito asociado con la cuenta o responder a las preguntas de seguridad.

Esas preguntas de seguridad se componen de las preguntas habituales 'el nombre de nacimiento de su madre, el amigo de la infancia o el hospital en el que nació'. Tenga en cuenta que es muy recomendable no contestar las preguntas correctamente durante la configuración, ya que de lo contrario es posible adivinar o aplicar ingeniería social a esas respuestas para obtener acceso a la cuenta.

El proceso pasa por alto el dispositivo de protección por completo, lo que no está muy claro por qué sucede eso. Si solo ha olvidado su contraseña, aún debe tener acceso al dispositivo, de modo que aún pueda generar un código como parte del proceso de inicio de sesión.

La opción de recuperar la contraseña sin tener que pasar por un largo proceso de verificación por teléfono o enviando documentos a PayPal para verificar su identidad es ciertamente conveniente, pero la seguridad debería ser más importante que eso.

¿Cuál es su opinión sobre los hallazgos?