App verlangt iPhone-Passwort für Aktivierung von Face ID - ist das ok?

[Madcat]

...in diesem Zusammenhang für mich ganz wichtig: Wie erkenne ich denn im Detail ob die Eingabe des Passwortes eine (gefakte) App oder das System anfordert?

Obs ne Fake ist oder nicht kannst du nicht erkennen. Du musst dich auf den Review-Prozess der Apps bei Apple verlassen denn so einen Screen aufzubauen der so oder so ähnlich wie die Passwortabfrage von iOS/iPadOS/macOS aussieht und den Gerätecode abfragt ist nicht erlaubt. Und ja, das ist einer der IMHO gravierenden Nachteile der Öffnung von iOS wie es die EU nun durchgedrückt hat. Für mich einer der Gründe, Sideloading nie zu nutzen und, sofern möglich, es sogar zu sperren.

Genau mein Humor. Den Gerätecode des Kunden auf dem eigenen Server abspeichern ist noch sicherer als FaceID? Und das ohne den Code zu vergleichen?

Der Gerätecode wird nicht auf dem Server gespeichert. Die App will auf die FaceID-Daten zugreifen bzw. diese nutzen für Legitimationen. Für die Legitimation dazu wird der Geräte-Code gebraucht. Im Grunde ist das ähnlich als würde man Einstellungen -> FaceID&Code aufrufen. Tatsächlich zeigt die App so, dass sie einen sehr hohen Sicherheitsstandard fordert/nutzt.

Ich meine in der Tat, dass diverse (aber nicht alle) meiner Freigabe-Banken-Apps und Co (Photo-TAN und Co) bei der FaceID-Aktivierung auch nach dem Geräte-Code fragten. Daher nix ungewöhnliches in meinen Augen.

 

[tubo]

Also sowohl beim iPhone, als auch am iPad musste ICH bis jetzt noch bei JEDER App den iPhone-/iPad-Code eingeben, um FaceID zu aktivieren. Nicht nur bei meinen Geräten, sondern bei allen, die ich schon von diversen Personen in den Händen hatte. Die Abfrage kommt von iOS/iPadOS und nicht von der App selbst. So habe ich es schon mehrfach gelesen und so scheint es ja dann auch zu sein 😉

Interessant – hier noch kein einziges Mal, wie schon oben geschrieben.

 

[lunchbreak]

Also sowohl beim iPhone, als auch am iPad musste ICH bis jetzt noch bei JEDER App den iPhone-/iPad-Code eingeben, um FaceID zu aktivieren. Nicht nur bei meinen Geräten, sondern bei allen, die ich schon von diversen Personen in den Händen hatte. Die Abfrage kommt von iOS/iPadOS und nicht von der App selbst. So habe ich es schon mehrfach gelesen und so scheint es ja dann auch zu sein 😉

Kannst Du ein Beispiel zeigen?

 

[ab78ni]

@lunchbreak : Stellst du gerade meine Aussage in Frage? 🤔 Wie soll ich dir ein Beispiel zeigen, wenn alle Apps, die ich nutze, bereits bestätigt sind? 🤷

 

[Günther J]

Der Gerätecode wird nicht auf dem Server gespeichert.

Ich bin mal kurz wieder da. Woher willst du wissen, dass sie nicht gespeichert wird? Es ist NICHT die Eingabemaske von Apple. Das kann man doch sehen. Sie ist von der Institution selbst programmiert. Weshalb wollen die eigene biografische Daten abspeichern? Denn das müssen sie ja zum Vergleich bei der nächsten Anmeldung. Und was passiert mit den zwanzig anderen Geräten, mit denen ich auf mein Konto zugreifen will? Auch wieder Gerätecode für FaceID? Und wenn zwischendurch mal eins kommt mit TouchID, was dann?

Kurze Schilderung vom letzten Monat: habe bei mir die App von der Deutschen Bank fürs Konto meiner Frau auf dem iPhone eingerichtet. Die App hat nach meiner Zertifizierungsnummer gefragt und ob ich zur Anmeldung FaceID nutzen möchte. Das hat die App erkannt. Und das war‘s. Auf meinem etwas älteren iPad wurde ich gefragt, ob ich TouchID nutzen möchte. Und fertig. Das kann doch nur bedeuten, dass bei einer Anmeldung die biometrischen Daten an mein Gerät zur Überprüfung gesendet wird und von diesem ein okay oder verweigert zurück bekommt.
Mein Gerätekennwort bekommt niemand von mir, nicht einmal meine Frau, die meldet sich mit Face oder Touch an.
So, mehr hab ich nicht zu sagen.

 

[ThoRo]

Es ist NICHT die Eingabemaske von Apple. Das kann man doch sehen. Sie ist von der Institution selbst programmiert.

Das ist aber eine sehr wagemutige Behauptung. Warum sollte das nicht die von Apple erzeugte Eingabemaske sein? Weil da ein kurzer Text steht? Den fordert Apple sogar von den Entwicklern ein, wenn diese nach dem Zugriff auf die "SecureEnclave" fragen...

Kann gerne in Apples Entwicklerdokumentation nachgelesen werden:
https://developer.apple.com/documentation/localauthentication/logging_a_user_into_your_app_with_face_id_or_touch_id/

 

[lunchbreak]

@lunchbreak : Stellst du gerade meine Aussage in Frage? 🤔 Wie soll ich dir ein Beispiel zeigen, wenn alle Apps, die ich nutze, bereits bestätigt sind? 🤷

Mal langsam. Sieh's mal so: Mein Thread hat das Thema, daß ich (und andere wohl auch) noch niemals je so eine Abfrage von auch nur einer einzigen App hatten oder kennen. Was ursächlich zur Verwunderung über besagtes App-Verhalten in meinem ganz konkreten Beispiel (transparent mit Nennung der App und des Screenshots) zutage gefördert hat. Der sofortige Tenor der ersten Antworten war, daß das immer so ist - und ganz normal. Alle diese Apps täten das. Auch, daß alle "die in der Liste stünden" (#11) das täten. Witzig Seltsam nur, daß alle, ausnahmslos alle, die in meiner Liste stehen es nicht tun.

Bislang ist mir noch keine einzige konkrete App hier genannt worden, die das auch tut. Warum?

Jetzt kommst Du (#40) und sagst, Zitat "JEDE" Deiner besagten Apps in dem Genre täten es. Da darf man doch mal nachfragen, ob wenigstens Du eine zeigen kannst.

Sag, nenn, oder besser zeig doch mal ein paar von den vielen die das tun.

 

[lunchbreak]

PS:

@lunchbreak ... Wie soll ich dir ein Beispiel zeigen, wenn alle Apps, die ich nutze, bereits bestätigt sind? 🤷

Weißt Du das wirklich nicht?

So: Face ID in der App deaktivieren und/oder Face ID in iOS deaktivieren. Dann in umgekehrter Reihenfolge wieder aktivieren. Voilà.

 

[SirVikon]

Das hat etwas mit der Dauer der letzten Sicherheitsaktivierzng zu tun. Wenn du also dein iPhone lange UNGESPERRT liegen lässt oder eben benutzt hast, dann wird zur Sicherheit noch einmal der Passcode abgefragt. Wenn du dein iPhone kurz zuvor mit FaceID entsperrt hast eben nicht.

Und gespeichert wird da dein iPhone Passcode natürlich nirgendwo.

 

[lunchbreak]

Das hat etwas mit der Dauer der letzten Sicherheitsaktivierzng zu tun. Wenn du also dein iPhone lange UNGESPERRT liegen lässt oder eben benutzt hast, dann wird zur Sicherheit noch einmal der Passcode abgefragt. Wenn du dein iPhone kurz zuvor mit FaceID entsperrt hast eben nicht.

Und gespeichert wird da dein iPhone Passcode natürlich nirgendwo.

Kontext? Was "Das" hat mit der Dauer der letzten Sicherheitsaktivierung zu tun?

 

[Madcat]

Es ist NICHT die Eingabemaske von Apple.

Ähm, doch. Genau das ist eine Eingabemaske von Apple. Wie kommst du darauf, dass das keine ist? @ThoRo hats ja schon verlinkt.

die App von der Deutschen Bank

Also für dich ist eine Bank die Referenz, die erst letztes Jahr im Sommer sehr negativ wegen eines Datenlecks, durch das Tausende von Kundendaten geklaut wurden, die Referenz? Na ich weiß nicht...

So, mehr hab ich nicht zu sagen.

Ist, glaube ich, auch besser so. Ist ja jetzt schon peinlich.

 

[OmarDLittle]

Das wird ja immer schöner, jetzt sollen sich iPhone-Anwender auch noch irgendwelche Entwicklerdokumentationen durchlesen. Ist doch eine simple Frage, wie weiß der Anwender ob der Screen von Apple stammt? Und Madcat hat es schön auf den Punkt gebracht:

Obs ne Fake ist oder nicht kannst du nicht erkennen.

Wer das Problem jetzt noch immer nicht sehen will... klar mag es für die Forenmitglieder hier ganz eindeutig sein warum das so ist, aber der reguläre Anwender der den Screen nach Jahren erstmals sieht, der weiß das nicht. Allermindestens erwarte ich mir, dass Apple vorschreibt, wie der Infotext bei der Abfrage auszusehen hat. Denn "Entsperren Sie die verschlüsselten Daten mit Face ID" ergibt schlicht keinen Sinn, oder tippt ihr jedesmal den Code ein wenn ihr Face ID nutzt?

Würde dort stehen "Deine App Banking-xyz möchte den Login mittels Face ID nutzen, wenn du zustimmst gib zur Aktivierung einmalig den iPhone-Sperrcode ein, für mehr Details tippe auf den Link hier" und entsprechendem Supportartikel bei apple.com wäre das ein deutlich kürzerer Thread hier geworden.

So wird dem User nur antrainiert, dass es total ok ist dass Apps Gerätecodes abfragen, und wenn dann am Mac das nächste Mal eine Schadsoftware Adminrechte will wird der Anwender sich eventuell denken, so eine Codeabfrage ist ganz normal und gibt sein Passwort ein. Da hilft dann der strenge Reviewprozess für iPhones nicht mehr.

Weshalb wollen die eigene biografische Daten abspeichern?

Wollen sie nicht und können sie nicht, auf Face ID haben Apps keinen Zugriff. Wenn Face ID genutzt wird bekommt die App nur ein OK von iOS zurück.

 

[Madcat]

Allermindestens erwarte ich mir, dass Apple vorschreibt, wie der Infotext bei der Abfrage auszusehen hat.

Aber das macht Apple doch! Meine Fresse, wie wäre es denn mal den scheiß Link zu lesen, den @ThoRo oben gepostet hat? Ich zitiere mal daraus:

In any project that uses biometrics, include the NSFaceIDUsageDescription key in your app’s Info.plistfile. Without this key, the system won’t allow your app to use Face ID. The value for this key is a string that the system presents to the user the first time your app attempts to use Face ID. The string should clearly explain why your app needs access to this authentication mechanism.

 

[lunchbreak]

...

Also für dich ist eine Bank die Referenz, die erst letztes Jahr im Sommer sehr negativ wegen eines Datenlecks, durch das Tausende von Kundendaten geklaut wurden, die Referenz? Na ich weiß nicht...

Ist, glaube ich, auch besser so. Ist ja jetzt schon peinlich.

1. bzgl. Datenleck, völlig am Thema vorbei.
2. peinlich ist in meinen Augen gerade jemand anders.

... Meine Fresse, wie wäre es denn mal den scheiß Link zu lesen, ...

SCNR

*kopfschüttel*

 

[BEASTIEPENDENT]

Aber das macht Apple doch! Meine Fresse, wie wäre es denn mal den scheiß Link zu lesen, den @ThoRo oben gepostet hat? Ich zitiere mal daraus: The string should clearly explain why your app needs access to this authentication mechanism.

Ich bin ja auf Deiner Seite, aber: Genau das ist ja bei Lunchbreaks Meldung nun wirklich NICHT der Fall. Dieses Radebrech was da steht, verwirrt User in der Tat nur.
Da finde ich Omars Vorschlag deutlich klarer und besser. Ich habe allerdings in Erinnerung, dass bei mir die Nachfragen auch in etwa so aussahen.

 

[lunchbreak]

Der zitierte Auszug spricht von einem Key, dessen Wert vom Typ String ist. Nirgends erklärt noch verdeutlicht dieser Auszug die Notwendigkeit das Passwort abzufragen. Das sind zwei völlig verschiedene Dinge.

Das Passwort abzufragen kann keine Pflicht sein, sonst täte es ja jede App, die Face ID für Freigaben benutzt. Und das ist, wie wir wissen, nicht der Fall. Beispiele sind im Thread zu finden.

 

[OmarDLittle]

Aber das macht Apple doch! Meine Fresse, wie wäre es denn mal den scheiß Link zu lesen, den @ThoRo oben gepostet hat? Ich zitiere mal daraus:

"bruh." "chill"

 

[Cassiuzz]

Einfachste Lösung?

Wenn einen die Spardabank App so in der Lebensqualität beeinträchtigt, oder man der ganze Sache nicht traut, dann einfach die App nicht nutzen, oder?

Weder sind die Programmierer der Spardabank App im Forum, noch Apple Mitarbeiter, die Interna ausplaudern werden!

Also .....?

 

[ThoRo]

Das Passwort abzufragen kann keine Pflicht sein, sonst täte es ja jede App, die Face ID für Freigaben benutzt. Und das ist, wie wir wissen, nicht der Fall. Beispiele sind im Thread zu finden.

(M)Eine Erklärung für das Verhalten hatte ich ja schon in Beitrag 21 geschrieben.
Im Zweifelsfall hilft tatsächlich nur die Anfrage beim Hersteller und eine Bitte um Erklärung für das Verhalten.

 

[Madcat]

Da finde ich Omars Vorschlag deutlich klarer und besser.

Naja, aber er schlägt ja genau das vor, was Apple schon macht

Und wenn mir was nicht suspekt vor kommt dann gebe ich auch keine Daten ein. Wie gesagt, ne Gerätecode-Abfrage zu faken in einer App im Appstore ist, behaupte ich jetzt mal, unmöglich. Die würde nie durch das Review kommen.