Zunächst einmal vielen Dank für Eure Recherche! Ich habe Teil 2 noch nicht ganz gehört; den werde ich sicher morgen zu Ende hören. Ihr gebt super Einblicke anhand plastischer Beispiele und die Lösungsvorschläge sind sehr gut strukturiert, offensichtlich gut recherchiert und Ihr schafft es trotz der massiven Missstände konstruktiv zu berichten. Hut ab! 
Insbesondere bei PayPal kann ich auch Ulfs Frust mit der Zwei-Faktor-Authentisierung (2FA) sehr gut nachempfinden. Gerade die PayPal-App (die sonst ganz gut ist) macht da echt keine gute Figur. Die (vielleicht auch aus diesem Frust entstandene) Aussage danach, dass 2FA keine wesentliche Verbesserung hinsichtlich der Sicherheit darstellt (ich habe es nicht nochmal nach gehört. Mag sein, dass ich das auch nur falsch verstanden habe - dann korrigiert mich gerne), ist schlicht falsch. Jeder, der sich mit IT-Sicherheit beschäftigt kann das bestätigen. Es gibt leider genügend Opfer von Betrugsmaschen im Netz, die u.A. durch 2FA hätten verhindert werden können, die nicht „eingepreist“ sind und ihren finanziellen Verlust nicht erstattet bekommen oder sich teilweise aus Scham gar nicht als Opfer melden.
Fast genauso schockierend ist, dass Ulf scheinbar SMS-TAN für 2FA verwendet. Auch hier ist die „best practice“ eindeutig: Wenn irgendwie möglich, nicht per SMS-TAN.
Ich fände es schön, wenn Ihr die Wichtigkeit, Accounts durch gute Passwörter und „state of the art“ Authentifizierungsverfahren zu sichern nochmal ganz kurz in 1-2 Minuten etwas nuancierter diskutieren könntet.
Bis dahin ein heißer Tipp für Ulf 
iPhone Einstellungen:
Passwörter:
PayPal:
Da kann ein Link von der PayPal Seite (Einstellungen → Sicherheit → 2FA → Drittanbieter App) oder der QR-Code eingefügt werden. Dann generiert die Apple-Keychain den 6-stelligen Code für die 2FA.
Dann einfach auf der PayPal-Seite (oder in der App) einloggen, und nach dem Login kommt dieses Feld:
Auf „Bestätigungscode“ tippen, …
… Finger drauf und fertig.
Das Ganze geht natürlich auch auf dem Mac. Einfach in Systemeinstellungen auf Passwörter und los geht es. Geht für alle möglichen Seiten wie Amazon usw.
Wer die Keychain nicht nutzt, kann die Google Authenticator App (auch ohne Google Konto) nutzen. Gibts für Android und iOS.
Die Microsoft Authenticator App kann das auch. Gibt es ebenfalls für Android und iOS.
Gibt zudem auch Anbieter, die einem die 2FA so leicht machen wie die Apple Keychain (mit automatischem Ausfüllen). Bei 1Password heißt die Funktion „Einmalpasswort“. Das gibt es übergreifend für Mac, Windows, iOS, Android, Linux, Chrome OS, Cmd-Line und als Browser Extension für Safari, Firefox, Google Chrome und Edge.