PayPal-Sicherheitsschlüssel

Gestern wollte ich während eines Bestellvorgangs mit PayPal bezahlen als ich feststellte, dass mein PayPay-Sicherheitsschlüssel nicht mehr funktionierte. Egal wie oft ich den Knopf zur Anzeige eines Sicherheitscodes drückte, das Display blieb ohne Funktion, das Gerät war wie “tot”.

Es handelt sich bei meinem Modell noch um den ursprünglichen Schlüssel (und nicht den neuen im Kreditkartenformat), der eine gewisse Ähnlichkeit mit den ersten RSA SecurID-Tokens hat:

Das Teil war jetzt über sechs Jahre alt, daher ging ich davon aus, dass schlicht und einfach die Batterie leer war. Da ich nicht riskieren wollte dass mein Bestellvorgang wegen Inaktivität abgebrochen wurde, wollte ich den Schlüssel möglichst schnell “reparieren”. Ich zog daher mit den Fingernägel die beiden Gehäusehalbschalen recht “brutal” auseinander. Zu meiner Überraschung lösten sich die beiden Teile problemlos voneinander, ohne dass eine der Kunststoffnasen abbrach (das Gehäuse machte zuvor auf mich eigentlich einen recht primitiven, billigen Eindruck). Es bot sich mir nun folgendes Bild:

Geöffneter PayPal-SicherheitsschlüsselNach Lösen der vier winzigen Schrauben mit einem Uhrmacherschraubendreher ließ sich die Platine einfach entnehmen:

Hier die beiden Gehäusehalbschalen:

Die Batterie, eine CR2032, ließ sich einfach seitlich herausschieben. Da es sich um eine Standard-Knopfzelle handelt, hatte ich ein Blister mit Ersatzbatterien im Haus.

Leider war der Sicherheitsschlüssel auch nach Austausch durch eine frische Batterie nicht wieder funktionsfähig. Möglicherweise ist er so konstruiert, dass er nach einem “Stromausfall” permanent funktionsunfähig ist – was durch einen gewissen Sinn ergibt, da diese Sicherheitsschlüssel oft zeitbasiert funktionieren (zumindest die RSA-SecurID-Tokens arbeiten so!), und nach einem Verlust der Versorgungsspannung hätte auch der interne Zeitgeber seinen korrekten Wert verloren.

Zwar konnte ich mich bei PayPal auch ohne den Sicherheitsschlüssel einloggen, indem ich die beiden Sicherheitsfragen beantwortete (ein ziemlicher Schwachsinn, ehrlich gesagt, denn jemand der mich gut kennt könnte diese beiden Fragen auch beantworten!). Aber ich wollte meinen Account aus Sicherheitsgründen gerne wieder mit einer zwei-Faktor-Autorisierung schützen.

Kleiner Exkurs: Zwei-Faktor-Autorisierung bedeutet man benötigt zwei Dinge zum Einloggen:

  • Etwas was man weiß (das Passwort) und
  • etwas was man physikalisch “besitzt” (z. B. den Sicherheitsschlüssel).

Der Vorteil dabei ist, dass es für den Zugriff auf das Konto nicht genügt, den Benutzernamen und das Passwort zu kennen (kann z. B. jemand durch einen Blick über die Schulter “erhaschen” oder durch einen Trojaner auf dem PC gestohlen werden). Für den Zugriff wird zusätzlich der physikalische Besitz des Sicherheitsschlüssels benötigt.

Wieder zurück zum Thema: Den “alten” Schlüssel (kostete damals 5 EUR, wenn ich mich recht erinnere) bietet PayPal nicht mehr an, der neue im Kreditkartenformat kostet happige 23 EUR, was mir ehrlich gesagt zu teuer ist. Das SMS-basierte Verfahren lehne ich ab, da ich einem US-Konzern — die es bekanntlich mit dem Datenschutz nicht so genau nehmen – nicht meine Handynummer anvertrauen möchte.

Software-Schlüssel

Ich suchte daher im Internet nach Hinweisen zu dem Problem “Batterie leer bei PayPal-Sicherheitsschlüssel” und stieß dabei durch Zufall auf folgende Lösung, die auch bei PayPal und eBay an Stelle des Sicherheitsschlüssels einsetzbar ist: Symantec Validation and ID Protection Service (VIP). Es gibt für diesen Cloud-basierten Dienst Authentisierungs-Agenten für sämtliche gängigen Handys, aber auch für Rechner mit Windows- oder Mac OS X-Betriebssystem.

Um diesen Dienst mit PayPal oder eBay zu nutzen muss man zunächst einen der Agenten installieren. Falls man ein SmartPhone hat ermpfiehlt es sich dieses zu benutzen, damit man sich auch von unterwegs aus einloggen kann.

Nach Installation des Agenten registriert sich dieser einmalig bei Symantecs Dienst und erhält eine “Credential ID”, also quasi eine Art “Seriennummer”:

Symantec VIP Access Agent on iPhone

Diese muss nun bei PayPal registriert werden. Dazu loggt man sich bei PayPal ein und ruft dann diesen Link bei PayPal auf. Dann erscheint die folgende Eingabemaske:

Aktivieren Sie Ihren PayPal-Sicherheitsschlüssel

Die Seriennummer ist die oben erwähnte “Credential ID”. Dann muss der aktuelle sowie der folgende Code eingegeben werden (alle 30 Sekunden wird ein neuer Code generiert). Dann auf “Aktivieren” clicken. Nun ist der Agent registriert:

Ihr Sicherheitsschlüssel ist jetzt aktiv.

Dieser “Software-Sicherheitsschlüssel” kann nun genau so wie der “Hardware-Schlüssel” benutzt werden.

Der Vorteil für mich ist dass ich den doch etwas klobigen Hardware-Schlüssel nicht länger am Schlüsselbund mit mir rumtragen muss. Mein Handy habe ich ohnehin stets bei mir.

9 thoughts on “PayPal-Sicherheitsschlüssel”

  1. Hi,
    Mir ging’s genauso wie dir, meine jetzige Karte hatte damals auch 5 oder 6€ gekostet. Leider funktioniert die nur noch 2-3 mal,dann muss man sie reaktivieren. Ich glaub die ist einfach zu alt. Das PayPal jetzt 23€ für eine neue Karte möhte, das hat mich fast vom Hocker gehauen. Und der Login mit den Sicherheitsfragen ist gelinde gesagt, echt ein Witz für einen “Bank-Login”.
    Ich glaub ich probier auch mal den Softwareschlüssel aus. Nach deiner kurzen Beschreibung oben scheint das ja gar nicht so umständlich zu sein.

  2. “Martin” schrieb mir per E-Mail:

    Auch mein Token hat nach sehr exzessiver Nutzung irgendwann letztes Jahr angekündigt bald leer zu sein (man mußte mehrfach drücken, bis eine Zahl erschieben ist). Auch ich habe das Gerät geöffnet, erst mal gründlich die Kontaktfläche und den Kontaktgummi mit Isopropanol gereinigt. Da hier tatsächlich ein Timer am Werk ist, muß bei Batteriewechsel unbedingt eine ununterbrochene Stromversorgung gewährleistet sein! (auch eine Unterbrechung für nur den Bruchteil einer Sekunde macht das Token für eBay wertlos, da es schon lange nicht mehr möglich ist, einen neuen/anderen Token zu registrieren oder zu aktivieren. Die im Blog erwähnte Methode von Symantec ist nur für Paypal zu gebrauchen).

    Also die Wege der Batterie verfolgt und entsprechende Prüfpunkte auf der Platine gefunden. Daran dann schlicht und ergreifend daran 2 dünne Drähte angelötet und daran einen Batteriehalter mit 2 herkömmlichen AA Zellen (in Reihe, um auf etwa 3V zu kommen) angeklemmt. Dann die 2032 vorsichtig entfernt und darauf geachtet, beim Herausdrücken ja keinen Kurzschluß zu machen (da laufen extrem dämlich verlegte Leiterbahnen entlang).

    Nach Ausbau nachgemessen: 2,8V – also höchste Zeit! Dann eine Neue genommen, wieder vorsichtig hinein geschoben und schnell das Batteriepack wieder abgelötet (damit sich die neue Zelle nicht an den Batterien entläd, da 3,6V < -> ca. 3V).

    Das Ganze war glücklicher Weise erfolgreich.

  3. Danke für den praktischen Tipp! Habe das mit dem VIP-Access gleich ausprobiert und meinen alten eBay-Schlüssel (der eigentlich noch geht, aber ich nicht immer dabei habe) deaktiviert 🙂

  4. Einfach nur ein toller Tipp. Habe mir die VIP app auf meinem privaten und Firmenhandy installiert. Funktioniert nach der Registrierung auf Paypal (über den link oben) einwandfrei.
    Ich benutze den RSA Software Token auch so.

    Toll!! Vielen Dank

    MIke

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.