Login mit Handy-Code nach fehlgeschlagener Face-ID

Hi,

Ich nutze Tomorrow Banking nun schon seit mehreren Monaten und mir ist bereits zu Beginn folgende Sicherheitslücke aufgefallen, die bisher noch nicht behoben wurde. Wenn ich FaceID für Tomorrow aktiviere, dann kann ich mich nach mehreren fehlgeschlagen FaceID Versuchen mit meinem Handy-Code einloggen. Ich würde erwarten (und so setzt es bspw. N26 um), dass die App nach fehlgeschlagener FaceID das Tomorrow-Passwort für den Login fordert. Im aktuellen Zustand kann sich jede Person, die meinen Handy-Code weiß, auch in mein Banking einloggen. Wie lässt sich das Sicherheitsproblem beheben?

Vielen Dank und beste Grüße

Hi @Luise, das ist ein generelles Spannungsfeld. Im Prinzip stellt sich die Frage, ob das ein Bug ist oder ein Feature. Ich finde es super, wenn ich meinen Geräte-PIN nutzen kann um voran zu kommen, anstatt das Passwort der App einzugeben. Das geht natürlich nur, wenn man seine Geräte-PIN geheim hält. Das sollte man aber eh, denn - auch unabhängig von Tomorrow - kann jeder Mensch mit deinem Geräte-PIN ja beispielsweise mobile Zahlungen oberhalb von 50 Euro durchführen. (Das ist zumindest bei Android die Grenze.) Es gibt auch Banking-Anbieter, die explizit darauf hinweisen, dass man for Geräte-PIN niemandem mitteilen darf, wenn das Gerät zur Autorisierung für Bankgeschäfte genutzt wird - aus genau dem Grund, den du genannt hast.

Das soll nicht deine Anfrage generell „entwerten“, ich finde die Frage gut und in Ordnung (auch, wenn ich persönlich anderer Meinung bin als du, ich liebe es, wenn das Telefon quasi der Passwortmanager ist). Ob das jetzt aber Absicht ist oder nicht, das kann am ehesten @Marvin beantworten.

1 „Gefällt mir“

Ich würde es nicht sicherheitslücke nennen (denn du solltest dein Geräte pin nie rausgeben und ausreichend sicher gestalten) aaaaber es wäre schon sinnvoll das so einzustellen dass nach fehlgeschlagenen faceid das tomorrow Passwort benötigt wird. Hier steht wie das gemacht wird:

https://developer.apple.com/documentation/localauthentication/logging_a_user_into_your_app_with_face_id_or_touch_id

Hey Luise,

hier kann ich den Hintergrund gerne kurz erklären.

Eine Rückmeldung wie deine erhalten wir von Zeit zu Zeit. Wir haben uns jedoch entschieden, es nicht so zu implementieren, wie du es vorschlägst - wir hatten es tatsächlich so in der Vergangenheit, aber andere Kund*innen waren nicht erfreut, dass sie ihr gesamtes Passwort für die App eingeben mussten.

Wenn eine Angreiferin Zugriff auf das Gerät und das Passwort hat, dann können verschiedenste Dinge vorgenommen werden - z.B. das Passwort zurückgesetzt, auf E-Mails zugegriffen und so weiter.
Auch Apple Pay verwendet die gleiche Sicherheitsmechanik - wenn der Finger nicht erkannt wird, kann der Gerätecode verwendet werden.

Wichtig ist natürlich immer, dass nur du das Passwort für dein Handy weißt.

Liebe Grüße :wave: