Neben SMS unterstützt Paypal nur einen Symantec-Security-Token als zweiten Faktor. Mit einem kleinen Trick funktioniert es auch mit anderen 2FA-OTP-Applikationen wie Google Authenticator, oder besser: freier Software wie FreeOTP.
Der Schlüssel zum Erfol ist die Python-Bibliothek vipaccess (verfügbar z.B. via AUR python-vipaccesss), einer freie Implementierung von Symantec’s VIP Access Applikation/Protokoll.
Pakete installieren
pacman -S qrencode python-pycryptodome
git clone https://aur.archlinux.org/python-oath.git
cd python-oath
makepkg -i
cd ..
git clone https://aur.archlinux.org/python-vipaccess.git
cd python-vipaccess
makepkg -i
Security-Token erstellen
Mit vipaccess erstellen wir uns nun eine Pseudo-Seriennummer (VSMT12345678) eines Symantec Tokens sowie das entsprechende Secret (secret=ABCD1234...).
vipaccess provision -p -t VSMT
QR-Code
Die ausgegebene otpauth://-URL passen wir für die OTP-Applikation ein wenig an - optional, aber es ergibt eine bessere Übersicht in der OTP-App: ...topt/paypal-email@adresse.tld?... und issuer=Paypal - und füttern sie in in unseren QR-Code-Generator (hier: qrencode):
Der generierte Barcode kann nun im Google Authenticator oder einem anderen Authenticator gescannt werden und schon werden 2FA-Codes für Paypal generiert.
qrencode -o qrcode.png "otpauth://totp/paypal-email@adresse.tld?secret=SUPERGEHEIM&digits=6&period=30&algorithm=sha1&issuer=PayPal"
Alternativ ist es auch möglich z.B. mit dem oathtool-Tool aus dem oath-toolkit-Paket entsprechende 2FA-Codes auf der Kommandozeile zu generieren.
Paypal
Abschließend muss man nur noch den Software-Token bei Paypal registrieren: als Seriennummer die vollständige VSMT-ID eingeben sowie zwei hintereinander generierte Codes aus der OTP-App.
Update 02.05.2019: Paypal unterstützt nun auch offiziell OTP-Apps (endlich) - man sollte also den hier generierten Software-Token wieder entfernen und eine OTP-App auf offiziellem Weg einrichten (im Paypal-Konto unter Einstellungen > Sicherheit > Zweistufige Verifizierung).