App verlangt iPhone-Passwort für Aktivierung von Face ID - ist das ok?

[ThoRo]

Ich beschreibe ein mir bislang nicht untergekommenes Verhalten. Und ich bin mir sehr sicher, daß andere Banking-Freigabe-Apps diesen Screen in #15 nicht produzieren/triggern. Das ist mir halt aufgefallen und ich stelle es zur Diskussion.

Das kann mit unterschiedlichen Berechtigungen, die die Apps bei Apple anfordern/beantragen, zusammenhängen. Ist nicht so ganz mein Bereich, aber es kann durchaus sein das man sich als Entwickler die Zugriffsberechtigung auf die sogenannte "SecureEnclave" von Apple vorab einholen kann.
Wer das nicht macht muss halt den Weg über die Benutzerzustimmung gehen. Der Ablauf dazu ist in der Entwicklerdokumentation bei Apple beschrieben - such mal nach FaceID + Entitlement

 

[OmarDLittle]

Für mich ergibt die Abfrage keinen Sinn und ist mir auch noch nie untergekommen: "Entsperren Sie die verschlüsselten Daten mit Face ID" ...ja warum dann das Passwort? Außerdem wirkt der Satz für einen offiziellen Apple-Screen holprig. Auch duzt mich mein iPhone, im Screenshot wird der TS aber gesiezt.

 

[Cassiuzz]

Für mich ergibt die Abfrage keinen Sinn und ist mir auch noch nie untergekommen: "Entsperren Sie die verschlüsselten Daten mit Face ID" ...ja warum dann das Passwort? Außerdem wirkt der Satz für einen offiziellen Apple-Screen holprig. Auch duzt mich mein iPhone, im Screenshot wird der TS aber gesiezt.

Was vermutest du denn?
Dass die Wildlings die Wall erklommen haben?

@AdrianoCelentano
Dann kontaktier doch am Besten direkt den Sparda Bank Support.
Wenns jemand weiß, warum das passiert, dann sinds die selber, oder?

 

[t_h_o_m_a_s]

Dann kontaktier doch am Besten direkt den Sparda Bank Support.

Bis du in einer Bank jemanden erreichst, der sich mit deren IT auskennt, wirst du alt und grau.

 

[AgentMax]

Für mich ergibt die Abfrage keinen Sinn und ist mir auch noch nie untergekommen: "Entsperren Sie die verschlüsselten Daten mit Face ID" ...ja warum dann das Passwort? Außerdem wirkt der Satz für einen offiziellen Apple-Screen holprig. Auch duzt mich mein iPhone, im Screenshot wird der TS aber gesiezt.

Der Text kommt von der App und soll dem Nutzer erklären warum eben dies jetzt verlangt wird.
Nicht ungewöhnlich. Beim App Tracking kann der Programmierer ja auch die Erklärung warum getrackt werden soll für den Systemdialog bereitstellen.

 

[Günther J]

@lunchbreak
Ich kenne so etwas auch nicht. Entweder nutzen die die Apple Funktion und die hinterlegten Sicherheitsinformationen oder sie wollen die Daten noch einmal bei sich selbst speichern. Kann man machen, muss man aber nicht. Wir haben mehrere Konten. Bei allen wurde nur gefragt, ob FaceID genutzt werden soll. Das war’s. Keine Eingabe von Daten. Nix.

 

[MrChad]

Wie erkenne ich denn im Detail ob die Eingabe des Passwortes eine (gefakte) App oder das System anfordert?

Die eigentliche Preisfrage -s.o.- ist immer noch unbeantwortet.
Oder auch:
- Woran erkennt der gewöhnliche User die Herkunft dieses Dialogs?
- Welche Vorkehrungen hat Apple getroffen, um 3rdParty Äpps daran zu hindern, selbst einen solchen Dialog zu generieren?

 

[Günther J]

- Woran erkennt der gewöhnliche User die Herkunft dieses Dialogs?
- Welche Vorkehrungen hat Apple getroffen, um 3rdParty Äpps daran zu hindern, selbst einen solchen Dialog zu generieren?

Kommt darauf an, ob der „normale“ User überhaupt darüber stolpert. Wenn ja, lesen, was dort steht. Nämlich iPhone Kennungen fremden Personen oder Institutionen zugänglich zu machen.
Glaubst du, Apple schreibt Apps vor, in welcher Form Anmeldedaten erhoben werden müssen? Ich nicht.

 

[tocotronaut]

Ich vermute, nachdem man einmal das Passwort eingegeben hat wird es auch dauerhaft mit FaceID Funktionieren.

- Das Sicherheitsmerkmal das immer abgefragt wird ist der Code.

- TouchID/FaceID tippen nach dem entsperren im Grunde auch nur den Code in das Feld.
(natürlich verdeckt und intern sicherlich auch anders gelöst aber im grunde ist das die Funktion der Biometrischen Authentifizierung)

Das beim (ersten?) Öffnen der Code abgefragt wird erhöht eigentlich die Sicherheit.

 

[Günther J]

Du willst dein Gerätekennwort in ein selbstprogrammiertes Eingabefeld eingeben?
Das bedeutet, die kennen deine IP, die kennen den Namen und das Zuhause des Gerätes und den Zugangscode dazu.
Wenn das die Sicherheit erhöht, ja dann…..

 

[lunchbreak]

@lunchbreak
Ich kenne so etwas auch nicht. Entweder nutzen die die Apple Funktion und die hinterlegten Sicherheitsinformationen oder sie wollen die Daten noch einmal bei sich selbst speichern. Kann man machen, muss man aber nicht. Wir haben mehrere Konten. Bei allen wurde nur gefragt, ob FaceID genutzt werden soll. Das war’s. Keine Eingabe von Daten. Nix.

Danke. Genau das ist der Punkt hier.

Spoiler

Habe es ja hier auch mehrmals genau so dargestellt. Und doch (fast) jeder sagt, völlig normal, ist immer so, und tut so, als sei das wirklich bei jeder der Freigabe-Apps so. Bis hin zu, daß das immer so sein muß, damit die Apps "in die Liste" kommen. Keine einzige meiner mit Face ID entsperrenden / freigebenden Apps haben diesen Dialog produziert und sind trotzdem in der Liste. Ging ja auch unter, diese meine Replik.

Also Leute, einfach mal etwas differenzierter sein und sich anhören und ansehen um was es geht und mal überlegen ob man das wirklich selbst schon so ("angeblich immer!") bei sich selbst je gesehen hat - ehe man jemand als doof darstellt und/oder als paranoid. Einfach mal den Ball flach halten...

Ich wette keiner hier hat so einen, oder einen so ähnlichen, Dialog je gesehen - aber alle tun so, als sei das völlig alltäglich. Darum geht es mir. Schade, daß man hier fast nichts mehr zur Sprache bringen kann, ohne daß recht schnell abgewunken wird. früher war das ergenisoffener, heute wird schnell ge-mainstreamt.

Einer sagt "ist immer so", alle anderen "ja, hab ich's doch gewußt" - oh boy!

...
Das beim (ersten?) Öffnen der Code abgefragt wird erhöht eigentlich die Sicherheit.

Nicht beim ersten Öffnen, sondern bei der Einrichtung der App, dort wo man bestätigt, daß man Face ID zur Freigabe nutzen möchte. (x-mal hier im Thread von mir so geschrieben/erklärt - nichts für ungut). Und genau das brauchen/verlangen andere Apps eben nicht.

 

[tocotronaut]

Diese verlangt es...
Ja. Nicht beim ersten Öffnen, aber beim ersten mal wenn sie auf die FaceID Funktion zugreifen möchtest.
Was nahezu das gleiche ist, aber den Fauxpas verbuche ich einfahc mal unter Korinthenkackerei.

Nochmal anders:
Die App möchte, bevor sie FaceID Vertraut (mutmaßlich einmalig) etwas haben was noch Fälschungssicherer ist als FaceID.
Deinen Code.

Die eigentliche Frage ist, warum andere Apps das nicht abfordern. DENN ES MACHT TOTAL SINN.

Hey... Das Thema würde allgemein viel mehr Sinn machen mit der Frage warum die anderen Apps das (noch) nicht abfordern.

Wenn du unsicher bist wende dich an deine Bank.

Du könntest ggf. auch den App-Store Link zur App die du geladen hast hier Posten.
Dann können andere die die App auch verwenden mal schauen, ob bei ihnen Laden oder Öffnen da steht...

 

[lunchbreak]

https://apps.apple.com/de/app/spardasecurego/id1540740422

 

[Günther J]

Die App möchte, bevor sie FaceID Vertraut (mutmaßlich einmalig) etwas haben was noch Fälschungssicherer ist als FaceID.
Deinen Code.

Genau mein Humor. Den Gerätecode des Kunden auf dem eigenen Server abspeichern ist noch sicherer als FaceID? Und das ohne den Code zu vergleichen?

Die eigentliche Frage ist, warum andere Apps das nicht abfordern. DENN ES MACHT TOTAL SINN.

Andere Apps nutzen die Funktionen von Apple. Anfrage an dein Gerät. Dein System verlangt die Code Eingabe und sendet einen Response, okay oder nicht okay, zurück. DAS macht Sinn.
Alles andere fliegt bei mir sofort raus.

 

[Günther J]

https://apps.apple.com/de/app/spardasecurego/id1540740422

Kommentare: you‘ll never walk alone

 

[lunchbreak]

Wie meinen?

 

[Günther J]

Wie meinen?

Diverse Kommentare zeugen auch von Unzufriedenheit und sind voller Fragen.

Ach so, hätte ich fast vergessen: ich bin hier raus.

 

[tubo]

Ich beschreibe ein mir bislang nicht untergekommenes Verhalten.

Ich nehme an, dass es unterschiedliche Wege für die Apps gibt, diese Rechte anzufordern. In Deiner App wurde wohl der umständliche Systemaufruf gewählt.
Ich hatte diese Situation auch noch nicht. Unangenehm daran ist allerdings, dass es auch ein Fishing-Screen sein könnte. Beim Entwickler nachfragen?

 

[tocotronaut]

Genau mein Humor. Den Gerätecode des Kunden auf dem eigenen Server abspeichern ist noch sicherer als FaceID? Und das ohne den Code zu vergleichen?

Hä? wie kommst du jetzt darauf, dass der Gerätecode gespeichert oder gar irgendwohin übertragen wird.
Da steckt aber ne menge Spekulation in der Aussage...

Es ist IMMER und NUR nur der Code, an dem die Sicherheit hängt.
Dann bietet Apple noch ein Komfort entsperren mittels Biometrie, dass nach jedem Neustart des Gerätes und alle 24-48 Stunden wieder mit dem Code freigeschaltet werden muss.
Meinst du, Apple macht dieses ständige überprüfen, weil der Fingerabdruck oder FaceID SICHERER ist als der Code?
Das ist hier nicht Windows Hello...

Nochmal: Die App will zur Aktivierung von FaceID/TouchID erstmal eine Entsperrung per Code.
Das macht in sofern Sinn, dass eine deaktivierte FaceID-Funktion nicht einfach von dritten, die einen in ihre Gewalt gebracht haben aktiviert werden kann um dann weitere Schritte durchführen zu können.

Apple selbst erzwingt übrigens auch eine Entsperrung per Code, wenn sicherheitskritische einstellungen (Einstellungen - FaceID/TouchID & Code) eingesehen oder geändert werden sollen.
Ich finde es sinnvoll, dass die App sich mittels (sichererem) Code davon überzeugt dass der rechtmäßige Besitzer anwesend ist, bevor sie den Komfort erhöht. Üblich ist das in der Tat nicht.
Es spricht dafür dass die Entwickler sich Gedanken gemacht haben.

 

[ab78ni]

Also sowohl beim iPhone, als auch am iPad musste ICH bis jetzt noch bei JEDER App den iPhone-/iPad-Code eingeben, um FaceID zu aktivieren. Nicht nur bei meinen Geräten, sondern bei allen, die ich schon von diversen Personen in den Händen hatte. Die Abfrage kommt von iOS/iPadOS und nicht von der App selbst. So habe ich es schon mehrfach gelesen und so scheint es ja dann auch zu sein 😉