Nun gut, Touch-ID war auch mit Gummiabdruck des Fingerprints zu überlisten, auch dazu hat es erheblichen Aufwand benötigt.
Ich sehe darin noch immer kein wirkliches Problem.

Das ist pure Theorie. Solange es keinen Bericht gibt, das so etwas in freier Wildbahn gelungen ist, ist es ... naja ... nett anzuschauen.

Was für ein Aufwand.

Diese Nachricht betrifft nur Staatsoberhäupter, Spione, Wirschaftsbosse usw...

Also keinen von uns

Und die musst du erstmal in den 3D Scanner bekommen. Wenn man das schafft, kann man ihnen auch direkt das iPhone vor die Nase halten.

Und wie viel Zeit muss verstreichen, bevor das iPhone X FaceID nicht mehr akzeptiert und den Code verlangt? 48h? Also bringen auch die 2 Wochen Herumgebastel nichts.... Ich habe schon den Fingerprint-Hacks nicht getraut und wohl zu recht, es gab keine massenartigen Verkundungen von erfolgreichen Nachahmungen (sogar keine einzige?). Und Apple wird doch nicht bei der Einführung einer neuen Sicherheitstechnologie sagen, dass es mit Masken nicht funktionieren würde ohne es exzessiv gegestet zu haben, so im Stil von „huch, du Jhonny, an den sch**** 3D Drucker haben wir Sch***** nochmal nicht gedacht“.

Jemanden beobachten zu können, wie er 4 Zahlen eintippt ist dagegen natürlich völlig ausgeschlossen...

War es das wirklich?

https://www.com-magazin.de/news/sicherheit/fingerabdrucksens or-touch-id-ausgetrickst-219654.html

Du irrst. Die Macher haben diese Aussage aus dem 1. Test mit dem 2. Test inzwischen ausgedehnt auf "Betrifft jeden, der es nutzt" bzw. warnen explizit davor, die Gesichtserkennung im geschäftlichen Bereich zu nutzen - weil diese so unsicher sei. Sie konnten im 2. Test den Aufwand deutlich verringern/vereinfachen, nun auch ohne vorheriges anlernen von FaceID (welches anlernbar ist). Und sie und andere werden den Aufwand immer weiter vereinfachen.

Übrigens:

heise (23.11.207): Snowden warnt vor Big Data, Biometrie und dem iPhone X
Am Beispiel der Gesichtserkennung im neuen iPhone X illustriert der Whistleblower Edward Snowden die Gefahren, denen wir uns schon in naher Zukunft stellen müssen.

Giga Mac (27.11.2017): iPhone X: Deshalb warnt Edward Snowden vor dem Apple-Handy
Edward Snowden warnt seit Langem vor der totalen Überwachung. Auch eine zentrale Neuerung an Apples iPhone X stößt dem Ex-NSA-Mitarbeiter übel auf.

Noch schlimmer, es gab dafür Berichte, dass Behörden es nicht mal geschafft haben in der erforderlichen Zeit den Finger eines in ihrem Besitz befindlichen toten Eigentümers auf das iPhone zu legen ...

@sierkb
Auch wenn sie es noch weiter vereinfachen, es ist weder in der erforderlichen Zeit noch mit 5 Versuchen zu schaffen, ohne dass der Eigentümer aktiv mitarbeitet.
Es beweist lediglich, man benötigt nicht das originale Gesicht, ist aber in der Praxis völlig irrelevant.

Hat nicht Helmut Kohl damals mal gesagt, das er sein Telefon (Kanzleramt) immer benutzt hat mit dem Hintergedanken das ein Dritter definitiv zuhört.

Also für den normalen User kein Problem.

Aber um die Sicherheit zu steigern könnte Apple folgendes machen beim X2 (mit TouchID!) die 4 fach Schutzkette:

1. erst Passcode eingeben
2. dann Fingerabdruck
3. dann FaceID
4. und zuletzt Siri Stimmabgleich (man muss einen Satz vorlesen der vom iPhone eingeblendet wird)

und das X3 bekommt zusätzlich noch einen Iris Scanner für die 5-fach Schutzkette.

Und es zeigt wie sinnlos die Behauptung ist, die Apple getätigt hat, dass FaceID 1:1 000 000 und TouchID nur 1:50 000 sicher ist. Da ich ja nicht 1 Mio. Köpfe anschleppen muss sondern "nur" die Maske erstellen. Vermutlich ist FaceID aber trotzdem sicherer, da es schwieriger ist zu einem 3D Scan des Gesichts zu kommen und dann ungemein schwieriger diese Maske zu produzieren als gleiches Prozedere mit Fingerabdruck. Noch leichter ist es natürlich mit einem Passcode, bei dem man am leichtesten unbemerkt die Eingabe beobachten kann.
Allerdings ist das wohl sowieso alles relativ, da viele von uns vermutlich zu uninteressant für den Aufwand sind und es zudem wesentlich leichter wäre die Infos aus uns rauszuprügeln oder mit einem Messer am Hals danach zu fragen als sich das mit dem Versuch einer Fälschung von Finger oder Gesicht in kurzer Zeit und ausreichender Qualität anzutun.

Irre ich mich oder war nicht die Aussage das FaceID weiter lernt umso öfter man es benutzt?
Also das FaceId wenn es frisch angelerntes ist viel einfach ausgetrickst werden kann als wenn es seit Wochen oder Monaten benutzt wird?
Insofern wäre das gezeigt noch praxis irrelevanter.

Vereinfacht gesagt: ein 2-Foto des Gesichts des Betreffenden reicht als wichtigste Ausgangsbasis. Ein 3D-Modell basierend auf einem beliebigen 2D-Foto lässt sich mit kostenfrei erhältlicher Software (es gibt im Netz sogar Webanwendungen, die Dir das eindrucksvoll demonstrieren, die machen innerhalb weniger Sekunden aus aus einem von Dir selber hochgeladenen beliebigen 2D-Bild Deines Gesichts ein verblüffend exaktes 3D-Modell desselben, das Du im Webbrowser begutachten und in alle Richtungen drehen kannst, hab's vor ein paar Wochen mal selber ausprobiert. Nur mal so als Beispiel) mittlerweile spielend errechnen und erzeugen, einen dezidierten 3D-Scanner braucht man dazu noch nicht mal unbedingt.
Auch die Infrarot-Signatur des Gesichts lässt sich einfacher erstellen/faken als Du glaubst.

Siehe zuvor Gesagtes.
Wer Dich übers Kreuz legen will, der tut es und schafft es auch. Dem fällt dazu schon was Entsprechendes ein, entsprechend ist er vorbereitet und ausgestattet, und was er dazu braucht, kostet nicht viel und bedeutet weniger Aufwand für ihn als Du denkst, und der Aufwand, den er dazu betreiben muss, den macht er gerne.

Die Diskussion ist sinnlos, da ich meine Behauptung nicht beweisen kann. Aber von dem gezeigten schlussfolgere ich, egal wie einfach oder schnell es geht, um die Maske so perfekt hinzubekommen, damit ich weniger als 5 Entsperrversuche brauche, müssen sämtliche Bedingungen ideal sein und das sind sie ohne Wissen und Mitarbeit des Eigentümers nicht.

Wer sagt das, dass sämtliche Bedingungen ideal sein müssen und sie es ohne Wissen und Mitarbeit des Eigentümers nicht seien? Du behauptest das einfach. Bzw. hoffst drauf, dass dem so sei. Und wenn Du irrst? Und die Bedingungen nicht zwingend ideal sein müssen? Und das Wissen und die aktive Mitarbeit des Eigentümers nicht zwingend erforderlich sind? Und jene "Mitarbeit" des Eigentümers z.B. ertrickst/erschlichen wird, unfreiwillig, heimlich (vor seinen Augen oder hinter seinem Rücken), ohne dass er es merkt?

Unter Laborbedingungen, ja. In der Realität? Zu finden ist darüber nix

Es steht ja nun auch die erste Kopftransplantation an:
Es wird bestimmt jemanden geben, der das für youtube mal ausprobiert, um die Gesichtserkennung zu überlisten.

Diese "Tatsachen" passen perfekt in deine Verschwörungserzählungen?

sierkbWoher hast Du diese Information? Im Artikel steht genau das Gegenteil.Materialen im Wert von mehreren Hundert Dollar heißt für Dich, es kostet nicht viel? Zwei Wochen Arbeitszeit, einen 3D-Drucker akkurat konfigurieren und die Beschaffung der exakt vermessenen Gesichtsdaten des Nutzers bedeutet bei Dir wenig Aufwand? Also, woher hast Du diese Information?

Ich bin geneigt, Dir zu zustimmen. Sicherheit wird stets bestimmt und gesteigert durch die Summe/Kombination/Schichten mehrerer voneinander unabhängiger Maßnahmen und Verhaltensweisen, sie ist nie durch eine Maßnahme/Verhaltensweise alleine erschöpfend beantwortet.

Ich empfinde es als einen Fehler, dass Apple im iPhone X auf Touch ID verzichtet hat und zumindest im iPhone X stattdessen allein auf Face ID setzt (obwohl ja lange Zeit von einem ins Display eingelassenen Touch ID die Rede war bzw. gerüchtet wurde, Apple damit aber wohl Umsetzungsprobleme hatte bzw. es bis September wohl nicht in den Griff bekommen, in der Folge dann darauf für den anstehenden Release-Termin des iPhone X verzichtet hat). Gott sei Dank existiert die (laut einiger Sicherheitsfachleuten durchaus nicht weniger sichere) Pin-Code-Eingabemöglichkeit als Fallback bzw. alternative Möglichkeit noch.

Dass Touch ID bequemer ist als die Eingabe eines Pin-Codes, dass Face ID bequemer ist als die Eingabe eines Pin-Codes, dürfte für die meisten Anwendungsfälle unbestritten sein. Aber sicherer? Sicherheitsfachleute widersprechen dem, widersprechen auch Apples blumigen Marketingaussagen, räumen dem Pin-Code und auch zumerkenden Passwörtern im Vergleich mit solchen biometrischen Dingen durchaus mindestens Ebenbrütigkeit ein in puncto Sicherheit ein, zum Teil sogar eine höhere Sicherheit und weniger Risiko.

Zumal es durchaus iPhone X-Nutzer zu geben scheint, so ist durchaus zu lesen, denen Face ID nicht in jeder Situation eine echte Erleichterung sondern zuweilen ihrer Ansicht nach eine unnötige Erschwerung bedeutet und die sich deshalb nach Touch ID zurücksehnen, die alternativ und weil es ihnen schneller, bequemer und einfacher ist, Face ID ausgeschaltet haben und die stattdessen lieber klassisch den Pin-Code eingeben.

Forbes (18.09.2017): Science: No, Apple's Face ID Is Not A 'Secure Password'

Ich glaube nicht, dass Face ID als alleinige Lösung ohne Touch ID-Alternative Apples letztes Wort sein wird. Ich glaube eher daran und damit verbunden hoffe ich es auch, dass Touch ID in einer der nächsten iPhone-Releases als weitere Möglichkeit wieder auftauchen wird, parallel gestellt zu Face ID sobald Apple es geschafft hat, es ins Display zu integrieren bzw. das Display Touch ID-fähig zu machen. Es ergäbe Sinn.

Ebenfalls dürfte die sogar nicht Apple-Design-like "Notch", die Nase im iPhone X-Display, nur dem geschuldet sein, weil man es zum jetzigen Zeitpunkt technisch nicht besser oder nicht rechtzeitig besser hin bekommen hat, also ebenfalls ein Zugeständnis der Ingenieure an das Martketing und deren Fahrplan. Ich rechne damit und hoffe darauf, dass man es in einer der nächsten iPhone-Iterationen besser hinbekommen wird, besser und unsichtbarer ohne eine solche doch nicht unbedingt auf der Hand liegende Ausparung hinbekommen wird.

Auch ein Grund, warum ich das iPhone X mit seinen diesbzgl. (durchaus respektablen) Technologien und Umsetzungen Apples gerne noch etwas reifen lasse, mich nach reiflicher Abwägung ganz bewusst gegen ein iPhone X entschieden und mir stattdessen ein solides iPhone 8 gekauft habe und lieber dann wieder zu einer der Nachfolgegenerationen des iPhone X greifen werde, wenn das alles ein wenig ausgereifter ist und die Kinderkrankheiten abgeschliffen sind. Ich muss da kein Early Adopter sein. Und damit und mit so einer Kaufentscheidung stehe ich nicht unbedingt alleine.
Jeder so wie er mag.

Auf Heise liest sich das so:

Ja.Das behauptest Du einafch.Dann ist das so, denn ...

Ganz einfach: bei der Einreise wird man zukünftig nochmals fotografiert. Ablehnen und umkehren oder mitmachen.

@cps
Die reinen Materialkosten und die Aussage „simpel“ beschreiben noch lange nicht den ganzen Aufwand. Immerhin hat die Sicherheitsfirma noch einmal zwei Wochen gebraucht um das Verfahren zu optimieren.
Und noch einmal: man hat 5 Versuche um rauszufinden
- ob die gemachten Fotos ausreichen
- ob das 3D-Rendering gut genug ist
- ob der Drucker perfekt gearbeitet hat
- ...

Wenn ich der Boss des BND wäre, dann würde ich mal eben 3 Mio € locker machen um das ganze Geraffel zu kaufen. Danach wird gearbeitet um den Vorgang zu beschleunigen.
Proof of concept liegt ja bereits vor

Bei dem einen iPhone neulich hat angeblich die entsperrende Firma das Gerät perfekt geklont (keine triviale Aufgabe). So stand der Zähler dann bei jedem Versuch auf 1.

Dann braucht man so einen Code wie Data:

Was auffällt: Offensichtlich funktioniert der Trick nur mit einer gewissen Entfernung. Der Mann justierte den Abstand zum Modell genau, bevor er das iPhone aktivierte. Nachher sieht man auch, dass ein Tape an der Metallschiene angebracht ist, das die Entfernung anzeigt. Er musste also wirklich Höhe und Entfernung anpassen. Deshalb diese etwas unnatürliche Haltung.
Es wäre schön gewesen, wenn dies auch bei einem anderen Winkel aus geprüft wird. Das dürfte eben ein Problem sein... bei einer "echten" Entsperrung, muss dann vieles stimmen: Es darf nie ausgeschaltet gewesen sein, da danach sofort der Code abgefragt wird. Man darf auch nie auf das iPhone schauen, da sofort eine Fehlaktivierung ausgelöst wird. Und das muss zwingend innerhalb der ersten 48 Stunden passieren! Ein bisschen zu viel, um eine "echte" Entsperrung einzuleiten.
Hier konnte versucht und getrickst werden, in der realen Welt jedoch, braucht es extrem viel, bis das klappt!

Wenn Du es selber ausprobiert hast, müsste Dir eigentlich aufgefallen sein, dass dieses 3D Modell nur aus einem generischem 3D Körper und dem gemapptem Bild besteht. Das 3D Modell hat höchstens eine gewisse Ähnlichkeit mit deiner Gesichtstopologie.