Hallo zusammen,
ich möchte drauf aufmerksam machen, dass es im gestern final erschienenen iOS/iPadOS 18 die neue Funktion gibt jede beliebige App mit Face-ID (biometrische Gesichtserkennung) zu sperren - alternativ (also wenn das fehl schlägt) wie immer der normale PIN oder das alphanummerische Entsperrpasswort des Geräts, je nachdem wofür man sich entschieden hat. Man kann im gleichen Zuge auch Apps verstecken, wodurch sie nur in einem gesonderten Ordner angezeigt werden, nachdem die "zusätzliche Entsperrung" erfolgt ist.
Wer möchte hier eine Quelle zum Nachlesen: https://www.macwelt.de/article…-apps-auf-dem-iphone.html
Nun kann ich nicht sagen, wie das in der Android-Welt ist. Gerne Erfahrungen hierzu teilen! Das muss nun keine Android vs. iOS Diskussion werden
Zusätzlich wollte ich mal meine Gedanken teilen und das Thema zur Diskussion stellen, ob sich durch so etwas die Sicherheit erhöhen lässt.
Ich würde diese Neuerung bezüglich App-Banking und/oder 2FA-/TAN-Apps aber als Schritt einschätzen, mit dem man die Sicherheit für manche Szenarien schon erhöhen kann. Es bestehen besonders von App-Skeptikern nachvollziehbare Sicherheitsbedenken. Stichwort "das ganze Vermögen in der Hosentasche, alles mit einem vierstelligen PIN geschützt". Face-ID, die in die jeweiligen Banking-Apps integriert wurde, kann regelmäßig durch eine solche PIN "umgangen" werden. Durch die Anforderung von Face-ID auf OS-Seite, also eine Ebene drüber, kann eine solche App also trotz recht unsicherer vier-, fünf- oder sechsstelliger PIN zusätzlich geschützt werden, also zumindest dieser Punkt sicherer gestaltet werden.
Natürlich kommt es auf das gewählte Entsperrpasswort an. Die meisten wählen hier vermutlich eine einfache sechsstellige PIN. Auch für diese Fälle könnten die zwei Stufen, also zwei PINs (oder eben Face-IDs) hintereinander eventuell ein bisschen mehr Sicherheit bieten. Ich persönlich nutze ohnehin ein komplexeres alphanummerisches Passwort zum Entsperren, weil Face-ID inzwischen fast immer funktioniert und ich das Passwort selten eingeben muss, mich das längere Passwort also nicht stört.
Zweimal Face-ID hintereinander hat an sich natürlich keinen Sicherheitsgewinn, der Gewinn könnte wie gesagt in den zwei unterschiedlichen Passwörtern/PINs hintereinander liegen, die man immer alternativ nutzen kann. Eine weitere Möglichkeit wäre es hier das in der jeweiligen Banking-App integrierte Face-ID zu deaktivieren und den kurzen Code jedes Mal selbst aus dem Kopf heraus einzugeben. Damit hätte man einen echten zusätzlichen Faktor, wenn ich mich nicht irre, weil diese (zweite) PIN dann eben nicht mit Face-ID umgangen werden könnte. Das Ausschalten von Face-ID war natürlich auch bisher möglich und es ist fraglich, ob das letztlich einen Sicherheitsgewinn bedeutet, zumal jede Eingabe einer PIN auch wieder ausgespäht werden kann.
Grundsätzlich stellt sich die Frage für welche Szenarien sich hier etwas verbessert. Wenn Jemand ohnehin den PIN, das Passwort zum Entsperren des Geräts hat, oder dich dazu zwingt dein Gesicht reinzuhalten oder dir den PIN zu nennen, bringt es natürlich nichts. Den Fall kann man aber wohl nicht verhindern. Man kann sich nicht gegen alles schützen, absolute Sicherheit gibt es nie, auch nicht bei der aussterbenden Nutzung von Chip-TAN oder der Nutzung eines separaten Geräts, das nur zuhause liegt. Aber für Fälle, in denen das Gerät bereits entsperrt wurde und dann in fremde Hände gerät, kann es ein zusätzlicher Schutz sein.
Ich will damit keine App-Skeptiker überzeugen. Risiken bestehen immer, ich persönlich halte Szenarien, in denen ich von App-Banking profitiere, für wichtiger. Aber das muss und wird für andere nicht gelten. Ich kann Jeden verstehen, der es für sich anders sieht und entscheidet. Ich selbst habe lange Zeit kein App-Banking genutzt.
Man hat immer noch die Möglichkeit ein zweites Gerät (Tablet/iPad oder ein altes Smartphone/iPhone, solange die Sicherheitsupdates haben) zuhause zu halten, sodass man den Punkt "das ganze Vermögen in der Hosentasche" nicht hat. Das halte ich dann nicht für unsicherer als Chip-TAN, im Gegenteil, weil man die für Chip-TAN benötigte Karte in der Regel mit sich rum trägt und anders als manch einer denkt nicht an das eigene Chip-TAN-Gerät gekoppelt ist.
Die Situation halte ich für nicht optimal was das Thema zweiter Faktor von Online-Banking angeht, bin aber auf der anderen Seite auch Pragmatiker. Sicherheit kann man auch übertreiben, sie bleibt individuell. Letztlich sollte sich Jeder subjektiv wohl fühlen, die objektive Sicherheit wiederum wird wohl bei praktisch allen geläufigen Banken auf einem ordentlichen Niveau sein. Wer das alles nicht möchte, der hat noch genügend Alternativen (Bank mit Chip-TAN suchen, oder eben das zusätzliche Gerät zuhause).
Den Schritt in iOS/iPadOS 18 finde ich jedenfalls zumindest interessant, hab aber noch kein abschließendes Urteil darüber gefällt, ob es auch wirklich sinnvoll ist. Meint ihr, dass es einen wirklichen Sicherheitsgewinn bringen könnte? Oder ist es eher etwas fürs Sicherheitsgefühl?