Integration von Widgets unter iOS 14

Hey! Ich würde es sehr begrüßen, wenn Tomorrow die neuen Widgets unter iOS 14 nutzt. Man könnte ein kleines Widget einblenden, welches den Kontostand anzeigt und ein größeres, welches zusätzlich die letzten Abbuchungen anzeigt.

5 Like

geht sowas überhaupt? oder muss da nicht immer das gesicht gescannt werden bzw. der finger abdruck

Klar geht das. Man könnte zum Beispiel die Widgets per Setting in der App aktivieren und dort darauf hinweisen, dass dadurch der Kontostand wenn man das Widget hinzufügt auf dem Home Bildschirm sichtbar ist. Das Widget muss man ja nicht verwenden, wenn man es nicht will, jedoch finde ich es super für Leute wie mich, die es verwenden wollen würden.

Das wird so vermutlich nicht funktionieren. Nicht umsonst sperrt die App einen nach 2 Min. oder so wieder aus und man muss sich erneut über Passwort oder Touch/Face ID authentifizieren. Ein Widget wird vermutlich ein „Dauerhaft eingeloggt“ brauchen, damit es die Daten abgreifen und aktuell halten kann. Die Hintergrundaktualisierung von Apps wird da nicht ausreichen.

2 Like

Bei N26 funktioniert das Widget einwandfrei.

5 Like

Bei anderen Banken auch. Ich glaube, für die reine Anzeige gelten andere Regeln als für die Interaktion mit dem Konto.

1 Like

Meines Wissens ist die Darstellung auch abhängig davon, ob das iPhone entsperrt ist oder nicht. Ggf. zeigen Widgets keine Infos, wenn das Telefon ohne Sperrcode konfiguriert ist?

Wie die Interaktion mit dem Konto ist entscheidet letztendlich der Entwickler einer App. FaceID wird abgefragt, weil die Entwickler bei Tomorrow es beim öffnen der App so programmiert haben. Ich kann beispielsweise auch eine iPhone App entwickeln, die deine FaceID abfragt, sobald du einen Button anklickst. Wenn der Scan erfolgreich ist würde man dann wo anders hingebracht werden, als wenn der Scan fehlschlägt.
Das integrieren von solchen Widgets stellt also technisch gesehen kein Problem dar und muss nur programmiertechnisch so umgesetzt werden.

Die PSD2 verlangt einen zweiten Faktor beim Kontozugriff, ein Widget mit Kontostandsanzeige könnte unter die 90 Tage Ausnahme fallen.

Genau das meinte ich mit anderen Regeln, danke fürs präzisere beschreiben :slight_smile:

Durch die Gerätebindung wird das aber fast unsichtbar. ein Widget würde funktionieren können, solange jemand die App 1 x in 90 Tagen öffnet.

Die 90 Tage Frist der PSD2 muss hier aber nicht angewendet werden. Diese gibt nur für Drittanbieter. Wenn Tomorrow es in seine App integriert, hat es nichts mit dieser Drittanbieter Regel zutun.

Es hängt davon ab wie Tomorrow die Zugangsdaten abgelegt hat.

Findet bei jeder Öffnung der App ein Login mit EMail + Passwort statt, dann wird Tomorrow die Zugangsdaten im Secure Element vom iPhone gespeichert haben und durch Face ID werden die Daten freigegeben. Die App hat also keine Session persistent gespeichert. Dann kann ein Widget natürlich nicht über die API den Kontostand abfragen. Werden die Zugangsdaten oder eine Session persistent in der App gespeichert und Face ID Wird nur genutzt um die App zu schützen, dann kann auch ein Widget im Hintergrund Daten laden, da die notwendigen Zugangsdaten für die API der App ohne Fave ID zur Verfügung steht.

Das stimmt so meines Wissens nicht.

Zugriff auf das Online-Konto: Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber für das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Umsätze der letzten 90 Tage ansehen will. Damit der mögliche Missbrauch eines ausgespähten Online-Banking-Passworts nicht unbegrenzt fortgeführt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen.

Quelle: Bafin

1 Like

Danke für den Hinweis. Aber scheinbar ist es nicht von allen so umgesetzt und kann auch nicht bei allen so umgesetzt werden. Starke Autorisierung bedeutet ja Username+Passwort + 2 Faktor. Bei N26 wäre dies zum Beispiel garnicht möglich, da 2 Faktor über die selbe App läuft und auch nur zur Verfügung steht wenn ich in der App angemeldet bin. Ich kann also nicht alle 90 Tage das 2 Faktor Verfahren nutzen um mich in der App anzumelden.

Das ist über Gerätebindung realisiert wie bei Tomorrow auch.

Faktor 1 - Wissen: Passwort / Log-In
Faktor 2 - Besitz: Zugriff über Gerät, dass vorher als im Besitz des Nutzers verifiziert wurde.

1 Like