Den Symantec Token für PayPal gibt es noch

Symantec mit den VIP Token verschwanden irgendwann von der Bildfläche. Ursprünglich verkaufte PayPal die Sicherheitstoken noch selbst, nun nicht mehr und man verweist auf die SMS-Funktion als Zweit-Faktor zur Anmeldung.

Da die SMS aber bei weitem nicht so sicher ist wie es der Symantec-Token war bin ich auf Suche gewesen.
Das eigentliche Problem wird vermutlich sein, dass Symantec aus irgendeinem Grund die Produktion der Token eingestellt hat. Sie sind quasi nicht mehr im Internet zu finden – nur noch vereinzelte Drittanbieterangebote gebrauchter oder vereinzelt auch neuer Großpackungen der Tokens gibt es. Allerdings werden diese oft nur in die USA versandt. Der Rest der Welt muss dann wohl oder übel das inzwischen wieder beim UVP von 20 US-Dollar angekommene Gerät selbst importieren. Mit den Versandkosten des Freight-Forwarding Dienstes (z.B. Borderlinx.com) liegt der Token dann auch in jedem Fall über Zollfreigrenzen und wird demnach über 30€ teuer…

Falls man sich aber dazu entschieden hat doch noch einen zu ergattern stößt man an das nächste Problem. PayPal scheint gar nicht mehr anzubieten die Token überhaupt einzurichten. Überall verweist man auf die SMS-Funktion.
Es gibt keine Möglichkeit mehr über PayPal direkt die Oberfläche aufzurufen. Dies geht nur noch über den Link direkt. Wenn ihr angemeldet seid, kommt hier hiermit weiter:

https://www.paypal.com/de/cgi-bin/webscr?cmd=_activate-security-key-any

Dies geht momentan nicht mit der Symantec VIP App oder mit den Symantec Token im Kartenformat. Allerdings gibt es noch weitere Token die nicht im Kartenformat sind welche weiterhin funktionieren.

Dieser Beitrag ist auf dem Stand September 2018. Ich übernehme keine Gewähr für nicht funktionierende Tokens und dessen finanzielle Folgen wenn diese zum ausprobieren bestellt wurden, da PayPal diese jederzeit für neue Nutzer deaktivieren kann.
Aktuellere Informationen (auf Englisch) findet man in den Kommentaren auf dieser Seite.

Twitch führt 2-Faktor-Authentifizierung per Authy ein

Twitch unterstützt nun 2-Faktor-Auth per Authy, leider noch nicht per Hardwarekey, sondern mit der schlimmstmöglichen Software-Lösung namens Authy, die bekanntlich von den Services eine Gebühr pro Authentifizierung abnehmen.

Aber all das ist schon mal ein netter Anfang, wenn schon andere Services in denen es nicht groß über private Daten oder Finanzen geht mitbekommen, das 2-Faktor-Authentifizierung wirklich ein Ding ist.
Alle anderen Services die eine solche Authentifizierung unterstützen findet man übrigens auf dieser Liste topaktuell.

via

YubiKey Hardwaretoken mit 50% Rabatt verfügbar

Yubico, die Firma hinter meiner Zweitwahl für Hardwarekeys und die Firma hinter den Hardware-Auth-Keys bietet „Google For Work“ Kunden einen satten Rabatt von 50% auf den U2F-Key an, der bei Google dazu verwendet werden kann, den eigenen Account etwas mehr abzusichern. Dazu muss man sich über die Aktionsseite einmal mit seinem „Google for work“ Account freischalten.

 

Dort gibt es dann den U2F-Key von Yubico für 9 USD anstatt 18 USD, wobei noch 5 USD für Versand nach Deutschland hinzugefügt werden kann.
Das Angebot gilt aber nur für den U2F-Key von Yubico, andere Token müssen weiterhin zum Normalpreis gekauft werden.
YubiKeys sind zwar auch von Amazon erhältlich, aufgrund der Sicherheit würde ich aber bei solchen Dingen immer direkt vom Hersteller kaufen, da dort dann keine Drittpersonen in der Lieferkette hängen, die sich unter Umständen Daten vom Yubikey auf dem Versandweg beschaffen können und man so mehr als nur einer Institution vertrauen muss.
Einige Freunde und ich haben sich bereits von Yubico verschiedene Hardwaretoken bestellt. Vom deutschen Zoll „zur Kontrolle“ geöffnete Pakete können anstandslos bei Yubico beanstandet und ersetzt werden, damit die Sicherheit weiterhin gewährleistet ist.

EDIT: In den Reaktionen zum Beitrag wurde ich darauf angesprochen warum YubiKeys meine „Zweitwahl“ bzgl. Hardwaretoken sind.
Ein einfacher Grund: Um sie zu benutzen müssen sie elektronisch mit dem Gerät verbunden werden, welches authentifiziert werden soll. Schlichtweg die Tatsache dass der Hardwaretoken dann an einem Gerät hängt, welches höchstwahrscheinlich in irgendeiner Weise mit Netzwerken verbunden ist, macht das Konzept unsicherer als z.B. Geräte die völlig eigenständig OTP-Tokens erstellen, ohne dafür in irgendeiner Weise in die Nähe von Netzwerken zu kommen.

via