Um die Sicherheit eines Verfahrens zu beurteilen, muss man eben auch mit einrechnen, wie wahrscheinlich ein bestimmter Angriffsvektor ausgenutzt wird.
Realistisches Szenario: Telefon wird gestohlen, Dieb nimmt einen Fingerabdruck, bastelt eine Maske aus Weißleim und entsperrt innerhalb von 24 Stunden spätestens beim dritten Versuch das Telefon.
Vollkommen abwegig: Sohn nimmt Telefon der Mutter in die Hand und entsperrt es auf Anhieb.
Darum ist Face ID so viel sicherer.