App verlangt iPhone-Passwort für Aktivierung von Face ID - ist das ok?

[BEASTIEPENDENT]

Naja, aber er schlägt ja genau das vor, was Apple schon macht

Dann macht Apple mit der Formulierung „Entsperren Sie die verschlüsselten Daten mit Face ID.“ schlicht Sch***. Denn diese „Erklärung“ ist so in dieser Form falsch und verwirrend. Das kann Apple sonst auch besser!

 

[Madcat]

Dann macht Apple mit der Formulierung „Entsperren Sie die verschlüsselten Daten mit Face ID.“ schlicht Sch***. Denn diese „Erklärung“ ist so in dieser Form falsch und verwirrend. Das kann Apple sonst auch besser!

Also ich hab den Passus jetzt auch aus dem Link von @ThoRo zitiert (und sogar den "wichtigen Teil" fett hervorgehoben) und es ist immer noch nicht klar, dass diese "Erklärung" nicht von Apple kommt sondern vom Entwickler? Und dass das auch so von Apple gewollt ist, der Entwickler soll in diesem Text kurz beschreiben warum seine App diese Authentifizierungsmethode anfordert...und das wurde jetzt echt immer noch nicht begriffen?

 

[lunchbreak]

Der Text kommt nicht von Apple.

Es geht aber auch gar nicht um den Text. Da könnte "Oma geht aufs Klo" stehen.

Es geht darum, warum der Gerätecode (das iPhone-Passwort) abgefragt wird.

Ja, anscheinend schwierig.

 

[BEASTIEPENDENT]

Und dass das auch so von Apple gewollt ist, der Entwickler soll in diesem Text kurz beschreiben warum seine App diese Authentifizierungsmethode anfordert...und das wurde jetzt echt immer noch nicht begriffen?

Begriffen ja, aber es war jetzt so viel hin und her etc. dass mir eben nicht mehr bewusst war, dass es SO gemeint ist. Und wenn man hier wenigstens mal einen thread auf einer Seite lesen könnte, aber nein, muss immer auf elfzitausend Seiten zerrrissen werden und man muss 25mal klicken und suchen, bis man den Beitrag wiederfindet, auf den man Bezug nehmen wllte, aber bis dahin hat man längst vergessen, was man überhaupt gerade gesucht hat…

Dennoch müsste es SO aussehen:

Würde dort stehen "Deine App Banking-xyz möchte den Login mittels Face ID nutzen, wenn du zustimmst gib zur Aktivierung einmalig den iPhone-Sperrcode ein, für mehr Details tippe auf den Link hier" und entsprechendem Supportartikel bei apple.com wäre das ein deutlich kürzerer Thread hier geworden.

 

[MacKaz]

Der Text kommt nicht von Apple.

Es geht aber auch gar nicht um den Text. Da könnte "Oma geht aufs Klo" stehen.

Es geht darum, warum der Gerätecode (das iPhone-Passwort) abgefragt wird.

Ja, anscheinend schwierig.

Könnte es sein, dass das in diesem Fall einfach nur ein Programmierfehler ist? Für mich wirkt es, als wenn dort Face ID greifen sollte, es aber nicht tut. Dann ist die Code-Eingabe ja durchaus normal, der Text passt nur nicht.
Hast Du mal bei der Bank nachgefragt, ob aktuell Fehler mit Face ID bekannt sind (wie es auch jemand im App Store beschreibt)?
Edit: Wenn es beim Aktivieren von FaceID auftritt, passt halt „nur“ der Text nicht.

 

[Madcat]

Es geht darum, warum der Gerätecode (das iPhone-Passwort) abgefragt wird.

Es geht schlicht darum, dass die App auf biometrische Daten zur Authentifizierung zugreifen will. Diese App nutzt dazu die höchste Sicherheitsstufe (was für eine solche App IMHO Untergrenze der Verhandlungsbasis sein sollte, machen aber in der Tat die wenigsten Apps) und deshalb musst du dich zur Freigabe von Face-ID mit deinem Gerätecode legitimieren.

 

[lunchbreak]

Könnte es sein, dass das in diesem Fall einfach nur ein Programmierfehler ist? Für mich wirkt es, als wenn dort Face ID greifen sollte, es aber nicht tut. Dann ist die Code-Eingabe ja durchaus normal, der Text passt nur nicht.
Hast Du mal bei der Bank nachgefragt, ob aktuell Fehler mit Face ID bekannt sind (wie es auch jemand im App Store beschreibt)?
Edit: Wenn es beim Aktivieren von FaceID auftritt, passt halt „nur“ der Text nicht.

Ne. Der Screen tritt wie gesagt bei der Einrichtung einmalig auf.

Es geht schlicht darum, dass die App auf biometrische Daten zur Authentifizierung zugreifen will. Diese App nutzt dazu die höchste Sicherheitsstufe (was für eine solche App IMHO Untergrenze der Verhandlungsbasis sein sollte, machen aber in der Tat die wenigsten Apps) und deshalb musst du dich zur Freigabe von Face-ID mit deinem Gerätecode legitimieren.

Ja. wird wohl so sein.


@all und @ab78ni : Ich warte immer noch auf nur ein einziges Beispiel der ach so vielen Apps, die angeblich alle eine solche Gerätecode-Abfrage machen, für die - bzw. vor der - Benutzung von Face ID für Freigaben. Da kam nichts mehr...

 

[ekki161]

Bei der VR SecureGO plus zum Beispiel habe ich das in letzter Zeit mehrfach gehabt.

 

[MacKaz]

Ne. Der Screen tritt wie gesagt bei der Einrichtung einmalig auf.

Also wie in meinem letzten Satz geschrieben.
Hast du denn mal bei der Bank nachgefragt, ob das einfach nur ein Textfehler ist, (wie auch ich vermute)?

 

[Mihahn]

@all und @ab78ni : Ich warte immer noch auf nur ein einziges Beispiel der ach so vielen Apps, die angeblich alle eine solche Gerätecode-Abfrage machen, für die - bzw. vor der - Benutzung von Face ID für Freigaben. Da kam nichts mehr...

Das hängt meines Wissens mit der Implementierung zusammen – nämlich damit, ob die App einen eigenen App-Code hat und Face ID eine zusätzliche Komfortfunktion ist oder ob die App keinen eigenen App-Code eingerichtet hat und nur Face ID zum Entsperren nutzt. So kommt es zu 2 verschiedenen Szenarien:

• Apps mit eigenem App-Code (den du selbst vergeben hast) versuchen Face ID 2x und wenn das Gesicht nicht erkannt wird, musst du den App-Code in einem Dialog der App eingeben, der meist auch klar als Dialog der App erkennbar ist. Damit ist Face ID einfach eine Komfortfunktion.
• Apps ohne eigenen App-Code versuchen Face ID 2x und wenn das nicht erkannt wird, dann kommt die Aufforderungen, die du auch auf deinem Screenshot gezeigt hast – da kein anderer App-Code vorhanden ist, würdest du sonst ja nicht mehr in die App kommen. Das gilt in dem Fall auch bei der Ersteinrichtung. Wie schon festgestellt wurde, kann die zweite Zeile mit dem kleineren Text vom Entwickler frei getextet werden.

Ob das Fake ist und nur deine Daten abgreifen will kannst du ja einfach testen, indem du ein falsches Passwort eingibst. Wenn das als richtig akzeptiert wird, dann war es wohl nicht die echte Abfrage – sonst hätte iOS ja gleich angezeigt, dass das Passwort falsch ist; die Wahrscheinlichkeit ist zumindest hoch.

Anbei nochmal ein Bild von einer Banking App, die nach 2x fehlgeschlagener Anmeldung mit Face ID diesen Dialog zeigt (allerdings mit Punkten und nicht mit einem Kasten wie bei dir – könnte an der iOS Version liegen; ich nutze aktuell 17.3.1):

 

[ab78ni]

Ich warte immer noch auf nur ein einziges Beispiel der ach so vielen Apps, die angeblich alle eine solche Gerätecode-Abfrage machen, für die - bzw. vor der - Benutzung von Face ID für Freigaben. Da kam nichts mehr...

Ich wüsste auch nicht, warum ich gerade DIR dazu noch was schreiben sollte...das Thema hat sich für mich erledigt 👍

 

[lunchbreak]

Ich wüsste auch nicht, warum ich gerade DIR dazu noch was schreiben sollte...das Thema hat sich für mich erledigt 👍

Wieso? Hast Du meine Antwort (#47) auf Deinen Post nicht gelesen? Alles schlüssig, stichhaltig, und ganz logisch und v.a. sachlich argumentiert. Einfach mal lesen und nur ein einziges Beispiel selbst nennen. DAS würde was neues und konkretes zur Sache beitragen und wäre nicht nur "allgemein" und unspezifisch. Und etwas Größe würde es auch zeigen - wenn die Argumente des anderen in der Logikkette Dir auch nicht passen. Ich habe Dir sogar geschrieben wie es geht - der Aufwand ist minimal.

 

[lunchbreak]

Bei der VR SecureGO plus zum Beispiel habe ich das in letzter Zeit mehrfach gehabt.

Die sieht von den Bildern und Screenshots nahezu haargenau so aus, wie die besagte App der Sparda-Bank(en). Wußtet Du das (wegen dem Smiley )?

Ich vermute die Apps sind "gleich".

Also wie in meinem letzten Satz geschrieben.
Hast du denn mal bei der Bank nachgefragt, ob das einfach nur ein Textfehler ist, (wie auch ich vermute)?

Nein, das habe ich nicht - ich glaube auch nicht, daß das etwas bringt. Auch geht es mir, wie schon geschrieben, gar nicht um den Textstring. Mir geht es darum, daß man einer App auf Nachfrage den iPhone Gerätecode / das iPhone-PW mitteilen soll. Das ist mir bei noch keiner anderen App, welche Freigabefunktionen über Face ID realisiert, untergekommen. Der Text ist mir dabei eigentlich egal (#63).

VG

 

[lunchbreak]

Das hängt meines Wissens mit der Implementierung zusammen – nämlich damit, ob die App einen eigenen App-Code hat und Face ID eine zusätzliche Komfortfunktion ist oder ob die App keinen eigenen App-Code eingerichtet hat und nur Face ID zum Entsperren nutzt. So kommt es zu 2 verschiedenen Szenarien:

• Apps mit eigenem App-Code (den du selbst vergeben hast) versuchen Face ID 2x und wenn das Gesicht nicht erkannt wird, musst du den App-Code in einem Dialog der App eingeben, der meist auch klar als Dialog der App erkennbar ist. Damit ist Face ID einfach eine Komfortfunktion.
• Apps ohne eigenen App-Code versuchen Face ID 2x und wenn das nicht erkannt wird, dann kommt die Aufforderungen, die du auch auf deinem Screenshot gezeigt hast – da kein anderer App-Code vorhanden ist, würdest du sonst ja nicht mehr in die App kommen. Das gilt in dem Fall auch bei der Ersteinrichtung. Wie schon festgestellt wurde, kann die zweite Zeile mit dem kleineren Text vom Entwickler frei getextet werden.

Ob das Fake ist und nur deine Daten abgreifen will kannst du ja einfach testen, indem du ein falsches Passwort eingibst. Wenn das als richtig akzeptiert wird, dann war es wohl nicht die echte Abfrage – sonst hätte iOS ja gleich angezeigt, dass das Passwort falsch ist; die Wahrscheinlichkeit ist zumindest hoch.

Anbei nochmal ein Bild von einer Banking App, die nach 2x fehlgeschlagener Anmeldung mit Face ID diesen Dialog zeigt (allerdings mit Punkten und nicht mit einem Kasten wie bei dir – könnte an der iOS Version liegen; ich nutze aktuell 17.3.1):

Anhang anzeigen 423547

Schöne Herleitung. Danke für die Mühe.

Ein paar Anmerkungen:

1.
Die besagte App arbeitet ebenfalls mit einem App-Code (wie alle anderen mir bekannten Banking-Freigabe-Apps auch). Dieser App-Code wird ebenfalls bei der Einrichtung erstmals eingegeben / vergeben. Und der kommt dann zum Zuge, wenn Face ID im Betrieb der App nicht klappt - so wie bei allen anderen mir bekannten Freigabe-Apps (Postbank, ING-DIBA, usw.) auch.

2.
Zu Deinem zweiten Punkt, nein : bei besagter App kommt der Screen (#15) nicht, wenn Face ID nicht klappt (dann kommt die Nachfrage nach dem selbst vergebenen App-Code, nicht aber nach dem iPhone-Passwort wie bei Dir). Der Screen (#15) kommt nur einmal, nämlich bei der Ersteinrichtung der App. In diesem Punkt scheint Deine App / Dein Screenshot sich grundsätzlich von der Spardabank-App (und den anderen mir bekannten Apps) bzw. deren Vorgehen zu unterscheiden. Denn bei denen kommt die Abfrage nach dem App-Code. Und wenn der nicht richtig eingeben wird, wiederholt, wird dicht gemacht.

Aber immerhin, haben wir jetzt mit Deinem Screenshot ein erstes weiteres Beispiel, wo eine App nach dem iPhone-Passwort fragt - wenn auch an anderer Stelle / in einem anderen Schritt / Vorgang. Ersteinrichtung bei mir (#15) vs. mehrmalige Falscheingabe des App-Code bei Dir (#70) - wenn ich Dich richtig verstanden habe.

Wie heißt Deine App denn, um welche handelt es sich?

PS:
iOS v17.3.1 auch bei mir.

 

[MacKaz]

Auch geht es mir, wie schon geschrieben, gar nicht um den Textstring. Mir geht es darum, daß man einer App auf Nachfrage den iPhone Gerätecode / das iPhone-PW mitteilen soll. Das ist mir bei noch keiner anderen App, welche Freigabefunktionen über Face ID realisiert, untergekommen. Der Text ist mir dabei eigentlich egal (#63).

Es ging mir nicht um den Text, der ist ja nur eine Art „Mittel zum Zweck“.
Dein Hinweis „wie schon geschrieben“ ist samt Erklärung obsolet, ich habe schon verstanden, worum es Dir geht.

 

[Not-knowing]

Seid ihr denn sicher, das mit „iPhone Code“ auch wirklich die GeräteID gemeint ist?
Ich nutze verschiedene 2FA-Banking-Apps, die sich mit der FaceID entsperren lassen. Beim Einrichten der App wurde dann immer zuerst ein App-Passwort festgelegt und, entweder sofort oder erst beim nächsten Aufruf, auch die Möglichkeit angeboten, per FaceID zu entsperren. Teilweise musste das dann noch einmal, obwohl schon in der App angemeldet, mit der Eingabe des App-Passwortes bestätigt werden, aber bisher noch nie mit der GeräteID.

 

[lunchbreak]

Seid ihr denn sicher, das mit „iPhone Code“ auch wirklich die GeräteID gemeint ist?
Ich nutze verschiedene 2FA-Banking-Apps, die sich mit der FaceID entsperren lassen. Beim Einrichten der App wurde dann immer zuerst ein App-Passwort festgelegt und, entweder sofort oder erst beim nächsten Aufruf, auch die Möglichkeit angeboten, per FaceID zu entsperren. Teilweise musste das dann noch einmal, obwohl schon in der App angemeldet, mit der Eingabe des App-Passwortes bestätigt werden, aber bisher noch nie mit der GeräteID.

Ja genau das ist ja der Punkt. Es geht um die Abfrage des iPhone-Passwortes . Siehe die Ausführungen im Thread.

Wenn es das App-PW wäre, wäre ja alles ok (so wie bei allen mir bislang bekannten Freigabe-Apps, absolut ok und normal). Es ist aber das iPhone-PW, sprich der Zugang zum Gerät!

 

[Madcat]

Ob das Fake ist und nur deine Daten abgreifen will kannst du ja einfach testen, indem du ein falsches Passwort eingibst.

Fake ist das mit Sicherheit nicht wenn die App aus Apples App-Store kommt. Du bekommst keine App durchs Review die diesen Screen der Code-Abfrage nachbaut.

Seid ihr denn sicher, das mit „iPhone Code“ auch wirklich die GeräteID gemeint ist?

Es wurde oben schon gezeigt/belegt (Link zum entsprechenden Kapitel in der Entwicklerdoku), dass sogar in der Entwicklerdoku beschrieben ist, wie man dieses Verhalten erzeugt und es auf den Screen bringt.

 

[BEASTIEPENDENT]

Auf dieses Problem geht übrigens heute MTN ein: https://www.mactechnews.de/news/article/Mac-Praxis-Wie-erkennt-man-echte-Passwortdialoge-184454.html mit Verweis auf Howard Oakley: https://eclecticlight.co/2024/03/08/how-to-tell-genuine-password-requests-from-fakes/