Wenn die 2 Faktoren Authentifizierung (Passwort + Pin oder Passwort + SMS) bei Paypal aktiv ist lässt Paypal trotzdem das Login via iPhone App ohne zweiten Faktor zu – die App fragt nur nach Passwort und Benutzernamen und bietet nicht einmal eine Eingabemöglichkeit für den PIN.
Als zweiter Faktor ist neben einer SMS auch ein Pin der von einem Hardware Gerät erzeugt wird verwendbar – diese Möglichkeit besteht seit zwei Jahren.
Wenn aber der Pin/TAN nicht zwingend ist macht die ganze Aktion keinen Sinn – ein Angreifer kann sich jederzeit über die iPhone App nur mit Passwort und Benutzername/E-Mail Adresse einloggen und Bezahlvorgänge starten.