PayPal-Sicherheitsschlüssel

Gestern wollte ich während eines Bestellvorgangs mit PayPal bezahlen als ich feststellte, dass mein PayPay-Sicherheitsschlüssel nicht mehr funktionierte. Egal wie oft ich den Knopf zur Anzeige eines Sicherheitscodes drückte, das Display blieb ohne Funktion, das Gerät war wie “tot”.

Es handelt sich bei meinem Modell noch um den ursprünglichen Schlüssel (und nicht den neuen im Kreditkartenformat), der eine gewisse Ähnlichkeit mit den ersten RSA SecurID-Tokens hat:

Das Teil war jetzt über sechs Jahre alt, daher ging ich davon aus, dass schlicht und einfach die Batterie leer war. Da ich nicht riskieren wollte dass mein Bestellvorgang wegen Inaktivität abgebrochen wurde, wollte ich den Schlüssel möglichst schnell “reparieren”. Ich zog daher mit den Fingernägel die beiden Gehäusehalbschalen recht “brutal” auseinander. Zu meiner Überraschung lösten sich die beiden Teile problemlos voneinander, ohne dass eine der Kunststoffnasen abbrach (das Gehäuse machte zuvor auf mich eigentlich einen recht primitiven, billigen Eindruck). Es bot sich mir nun folgendes Bild:

Geöffneter PayPal-SicherheitsschlüsselNach Lösen der vier winzigen Schrauben mit einem Uhrmacherschraubendreher ließ sich die Platine einfach entnehmen:

Hier die beiden Gehäusehalbschalen:

Die Batterie, eine CR2032, ließ sich einfach seitlich herausschieben. Da es sich um eine Standard-Knopfzelle handelt, hatte ich ein Blister mit Ersatzbatterien im Haus.

Leider war der Sicherheitsschlüssel auch nach Austausch durch eine frische Batterie nicht wieder funktionsfähig. Möglicherweise ist er so konstruiert, dass er nach einem “Stromausfall” permanent funktionsunfähig ist – was durch einen gewissen Sinn ergibt, da diese Sicherheitsschlüssel oft zeitbasiert funktionieren (zumindest die RSA-SecurID-Tokens arbeiten so!), und nach einem Verlust der Versorgungsspannung hätte auch der interne Zeitgeber seinen korrekten Wert verloren.

Zwar konnte ich mich bei PayPal auch ohne den Sicherheitsschlüssel einloggen, indem ich die beiden Sicherheitsfragen beantwortete (ein ziemlicher Schwachsinn, ehrlich gesagt, denn jemand der mich gut kennt könnte diese beiden Fragen auch beantworten!). Aber ich wollte meinen Account aus Sicherheitsgründen gerne wieder mit einer zwei-Faktor-Autorisierung schützen.

Kleiner Exkurs: Zwei-Faktor-Autorisierung bedeutet man benötigt zwei Dinge zum Einloggen:

  • Etwas was man weiß (das Passwort) und
  • etwas was man physikalisch “besitzt” (z. B. den Sicherheitsschlüssel).

Der Vorteil dabei ist, dass es für den Zugriff auf das Konto nicht genügt, den Benutzernamen und das Passwort zu kennen (kann z. B. jemand durch einen Blick über die Schulter “erhaschen” oder durch einen Trojaner auf dem PC gestohlen werden). Für den Zugriff wird zusätzlich der physikalische Besitz des Sicherheitsschlüssels benötigt.

Wieder zurück zum Thema: Den “alten” Schlüssel (kostete damals 5 EUR, wenn ich mich recht erinnere) bietet PayPal nicht mehr an, der neue im Kreditkartenformat kostet happige 23 EUR, was mir ehrlich gesagt zu teuer ist. Das SMS-basierte Verfahren lehne ich ab, da ich einem US-Konzern — die es bekanntlich mit dem Datenschutz nicht so genau nehmen – nicht meine Handynummer anvertrauen möchte.

Software-Schlüssel

Ich suchte daher im Internet nach Hinweisen zu dem Problem “Batterie leer bei PayPal-Sicherheitsschlüssel” und stieß dabei durch Zufall auf folgende Lösung, die auch bei PayPal und eBay an Stelle des Sicherheitsschlüssels einsetzbar ist: Symantec Validation and ID Protection Service (VIP). Es gibt für diesen Cloud-basierten Dienst Authentisierungs-Agenten für sämtliche gängigen Handys, aber auch für Rechner mit Windows- oder Mac OS X-Betriebssystem.

Um diesen Dienst mit PayPal oder eBay zu nutzen muss man zunächst einen der Agenten installieren. Falls man ein SmartPhone hat ermpfiehlt es sich dieses zu benutzen, damit man sich auch von unterwegs aus einloggen kann.

Nach Installation des Agenten registriert sich dieser einmalig bei Symantecs Dienst und erhält eine “Credential ID”, also quasi eine Art “Seriennummer”:

Symantec VIP Access Agent on iPhone

Diese muss nun bei PayPal registriert werden. Dazu loggt man sich bei PayPal ein und ruft dann diesen Link bei PayPal auf. Dann erscheint die folgende Eingabemaske:

Aktivieren Sie Ihren PayPal-Sicherheitsschlüssel

Die Seriennummer ist die oben erwähnte “Credential ID”. Dann muss der aktuelle sowie der folgende Code eingegeben werden (alle 30 Sekunden wird ein neuer Code generiert). Dann auf “Aktivieren” clicken. Nun ist der Agent registriert:

Ihr Sicherheitsschlüssel ist jetzt aktiv.

Dieser “Software-Sicherheitsschlüssel” kann nun genau so wie der “Hardware-Schlüssel” benutzt werden.

Der Vorteil für mich ist dass ich den doch etwas klobigen Hardware-Schlüssel nicht länger am Schlüsselbund mit mir rumtragen muss. Mein Handy habe ich ohnehin stets bei mir.

19 thoughts on “PayPal-Sicherheitsschlüssel”

  1. Hi,
    Mir ging’s genauso wie dir, meine jetzige Karte hatte damals auch 5 oder 6€ gekostet. Leider funktioniert die nur noch 2-3 mal,dann muss man sie reaktivieren. Ich glaub die ist einfach zu alt. Das PayPal jetzt 23€ für eine neue Karte möhte, das hat mich fast vom Hocker gehauen. Und der Login mit den Sicherheitsfragen ist gelinde gesagt, echt ein Witz für einen “Bank-Login”.
    Ich glaub ich probier auch mal den Softwareschlüssel aus. Nach deiner kurzen Beschreibung oben scheint das ja gar nicht so umständlich zu sein.

  2. “Martin” schrieb mir per E-Mail:

    Auch mein Token hat nach sehr exzessiver Nutzung irgendwann letztes Jahr angekündigt bald leer zu sein (man mußte mehrfach drücken, bis eine Zahl erschieben ist). Auch ich habe das Gerät geöffnet, erst mal gründlich die Kontaktfläche und den Kontaktgummi mit Isopropanol gereinigt. Da hier tatsächlich ein Timer am Werk ist, muß bei Batteriewechsel unbedingt eine ununterbrochene Stromversorgung gewährleistet sein! (auch eine Unterbrechung für nur den Bruchteil einer Sekunde macht das Token für eBay wertlos, da es schon lange nicht mehr möglich ist, einen neuen/anderen Token zu registrieren oder zu aktivieren. Die im Blog erwähnte Methode von Symantec ist nur für Paypal zu gebrauchen).

    Also die Wege der Batterie verfolgt und entsprechende Prüfpunkte auf der Platine gefunden. Daran dann schlicht und ergreifend daran 2 dünne Drähte angelötet und daran einen Batteriehalter mit 2 herkömmlichen AA Zellen (in Reihe, um auf etwa 3V zu kommen) angeklemmt. Dann die 2032 vorsichtig entfernt und darauf geachtet, beim Herausdrücken ja keinen Kurzschluß zu machen (da laufen extrem dämlich verlegte Leiterbahnen entlang).

    Nach Ausbau nachgemessen: 2,8V – also höchste Zeit! Dann eine Neue genommen, wieder vorsichtig hinein geschoben und schnell das Batteriepack wieder abgelötet (damit sich die neue Zelle nicht an den Batterien entläd, da 3,6V < -> ca. 3V).

    Das Ganze war glücklicher Weise erfolgreich.

  3. Danke für den praktischen Tipp! Habe das mit dem VIP-Access gleich ausprobiert und meinen alten eBay-Schlüssel (der eigentlich noch geht, aber ich nicht immer dabei habe) deaktiviert 🙂

  4. Einfach nur ein toller Tipp. Habe mir die VIP app auf meinem privaten und Firmenhandy installiert. Funktioniert nach der Registrierung auf Paypal (über den link oben) einwandfrei.
    Ich benutze den RSA Software Token auch so.

    Toll!! Vielen Dank

    MIke

  5. Der Thread ist zwar schon asbach-uralt, aber ich hatte erst heute das Problem mit meinem Sicherheitsschlüssel – er meldete mir häufiger ERR und BAT 00.
    Ich wollte aber meine Fingernägel schonen und habe das Teil mit einem angesetzten Messer in der Nut aufgefriemelt.
    Dann – wie von dir beschrieben, die Schrauben entfernt, die Platine herausgehoben und die Batterie herausgeschoben. Dann eine neue 2032 reingeschoben – und er funktioniert. Code bei Paypal getestet – alles wunderbar! Also, dein Verdacht, er dürfe keine Spannung verlieren, stimmt nicht. So bin ich beruhigt und kann ihn die nächsten 10 Jahre weiterverwenden. Mir sind physische Sicherungen einfach lieber als digitale … 😉

    1. Hallo Matthias.

      Ich denke Du warst einfach schnell genug — die Schaltung enthält wahrscheinlich irgendwo einen Kondensator, der die Spannung ein bisschen “gepuffert” hat… 😉

      Wie auch immer, es freut mich dass es bei Dir geklappt hat.

      Hardware-Lösungen solchen vorzuziehen, die Software-basiert sind, ist durchaus sinnvoll. Schau Dir bitte mal dieses Gerät an, es handelt sich um einen TOTP-Generator, den Du für beliebige Accounts, die das gängige TOTP-SHA-based-Verfahren verwenden, benutzen kannst (eBay und PayPal unterstützen das mittlerweile auch, wie auch viele andere, z. B. Google, Facebook, Twitter, etc.):

      https://amzn.to/31IfOkw

      Dieses Gerät kann über eine eingebaute Kamera direkt die QR-Codes mit dem “Secret” einlesen, so dass Du ohne das Gerät an den PC anschließen zu müssen direkt arbeitsfähig bist…

      1. Hallo Ralf.
        Danke für den Tip – hab ich gleich mal bestellt …
        Bei den unterstützen Unternehmen waren noch einige weitere Accounts von mir dabei, die ich bislang per Handy-TAN bestätigt habe.
        Zum Glück ist der Preis so gering, dass ich mir eine neue Version leisten kann – sobald es das Gerät mal in einer anderen Farbe gibt, als dieses brüllende Gelb! 😉

        1. Hallo Matthias.

          Von “Handy-TAN” (SMS-TAN) muss ich grundsätzlich dringend abraten! Google mal nach “SIM swap attack”, es ist sehr leicht sich eine Ersatz-SIM zu beschaffen und damit Konten zu kompromittieren. Absolut nicht empfehlenswert!

          Ich habe das nur noch bei zwei Banken, die leider nix anderes anbieten. Alles andere mache ich mit sichereren Verfahren, wie z. B. besagtes TOTP-Verfahren. Ich habe mittlerweile mehr als 70 Konten, die derart gesichert sind. 😉

          Viel Spaß noch. 🙂

          Schöne Grüße,

          Ralf

  6. leider habe ich den Blog zu spät gelesen und kühn die Batterie gewechselt. Zu meiner Verwunderung funktionierte der Schlüssel nicht mehr.
    Tja und dann hab ich diesen Blog hier gefunden – zu spät …

    Nach einem Reset auf der Platine bringt mir das Knöpfchen drücken nur –E994– und SOFT3328. Wenn ich den Button länger drücke kommt irgendwann “Button”

    1. Ich fürchte, Dein Token ist jetzt auch tot. 🙁

      Mittlerweile macht PayPal aber auch schön brav TOTP, Du kannst also “Google Authenticator” oder ähnliche Apps benutzen (ich benutze unter Android FreeOTP+, empfehle ich sehr) und musst nicht mehr das proprietäre “Symantec VIP”-Verfahren verwenden…

      Schöne Grüße!

  7. Anmerkung zum Batteriewechsel:
    Bei mir hat es ohne Probleme funktioniert; allerdings war sie noch nicht ganz leer, sondern gab Warnmeldungen aus.
    Ich habe die Batterie dann nach dem Öffnen sehr schnell gewechselt, weil ich vermutet habe, dass die Einstellungen für kurze Zeit durch einen Kondensator abgepuffert werden.
    Das hat funktioniert, das Dongle ist wieder voll betriebsbereit.
    Grüße an alle Bastler!

    1. Hallo Joachim.

      Das freut mich für Dich. 🙂

      Ich denke der Trick ist, “schnell zu sein”. Das war ich damals leider nicht. ;-(

      Viele Grüße,

      Ralf

  8. Sie haben Angst, dass PayPal Ihre Handynummer missbraucht, aber Sie verwenden ein Smartphone was so ziemlich jeder Geheimdienst der Welt ausspähen kann (Stichwort Pegasus von NSO Group), irgendwie witzlos. 🙂

    1. Hallo Herr Herget. Ich denke das ist nicht vergleichbar. Zum einen glaube ich nicht, dass speziell ich Ziel von Geheimdiensten bin. Und Sie werden nicht so paranoid (und unrealistisch) sein zu behaupten, dass “die Geheimdienste” ausnahmslos alle per Smartphone-Trojaner überwachen, oder?!

      Andererseits geht mir ja darum, dass ich potenziellen Spammern und Daten-Brokern das Leben so schwer wie möglich machen möchte. Deshalb kriegt PayPal auch nicht meine Handynummer.

Leave a Reply to Matthias Ammer Cancel reply

Your email address will not be published. Required fields are marked *