• IT-Karriere:
  • Services:

So richtig rund läuft's auch beim Android-Hersteller Google nicht

Google ist in der Fido-Allianz, vertreibt selbst Fido-Sticks und hat die Fido2-Unterstützung auf unser Testgerät gebracht. Die Vermutung liegt nahe, dass Google-Nutzer sich per Webauthn an ihrem Konto anmelden können. Das ist auch richtig, allerdings unterstützt Google Webauthn bisher nur zum Login, nicht aber zum Registrieren von Fido-Sticks - diese müssen noch über das Vorgängerprotokoll Fido im Google-Konto hinterlegt werden. Mit unserem Android-Smartphone klappt das nicht.

Stellenmarkt
  1. Interone GmbH, München
  2. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck

Dennoch können wir unter Android unsere Fido-Sticks über USB, NFC und Bluetooth registrieren und verwenden. Der Login direkt über die Fido2-Funktion von Android klappt damit zwar nicht, wir können uns aber immerhin über unsere Sticks auf Android im Google-Konto anmelden. Wir stecken die USB-C-Variante des Fido2-Sticks von Solo in die Buchse des Smartphones - da er abwärtskompatibel ist, können wir ihn hinterlegen und uns anschließend per Webauthn mit Passwort und Fido2-Stick als zweitem Faktor anmelden. Alternativ bietet Google auch eine Eigenentwicklung zum passwortlosen Anmelden über das Smartphone in den Konten-Optionen an.

Die Vermischung der unterschiedlichen Standards macht es für Nutzer allerdings alles andere als einfach. Bevor Google den Login per Webauthn unterstützte, musste beispielsweise im Firefox Fido U2F erst über die internen Einstellungen (about:config) aktiviert werden. Seit Google - wie Firefox - nativ Webauthn zum Login unterstützt, ist dies nicht mehr notwendig. Hinterlegt werden können sie damit jedoch nach wie vor nicht. Der Nutzer bleibt verwirrt zurück.

Dropbox unterstützt Webauthn - aber nicht Mobil

Dropbox unterstützt Webauthn bereits seit über einem Jahr, allerdings lässt sich die Funktion nicht auf Anhieb nutzen. Zuerst muss eine Zwei-Faktor-Authentifizierung mittels Handynummer oder App eingerichtet werden. Fido und Fido2/Webauthn werden nur als Ausweichmöglichkeit angeboten. Wir installieren die Authenticator-App von Google und richten sie als zweiten Faktor auf Dropbox ein. Alles funktioniert einwandfrei. Nun wollen wir einen Sicherheitsschlüssel unter Android hinzufügen, werden aber abgewiesen: "Derzeit werden Sicherheitsschlüssel nur mit Google Chrome ab Version 38 und Firefox ab Version 60 unterstützt." Dabei haben wir doch bereits getestet, dass Chrome unter Android sehr wohl den Fido2-Standard unterstützt. Doch Dropbox will nicht.

Wir kontaktieren die Pressestelle von Dropbox und erhalten schnell eine Antwort. Uns wird geraten, den Sicherheitsschlüssel am PC zu hinterlegen. Das klappt problemlos und ermöglicht eine Zwei-Faktor-Authentifizierung mit unserem Fido2-Stick von Yubico - auf Android werden wir allerdings weiterhin nach unserem One-Time-Password (OTP) aus der Authenticator-App gefragt. Weder der Android-interne noch der USB-Sicherheitsschlüssel funktionieren auf unserem Smartphone.

Dropbox arbeitet bereits an dem Problem und möchte es zeitnah beheben. Beim passwortlosen Anmelden gebe es noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen," bevor dies eingeführt werden könnte, erklärt Rajan Kapoor, Director of Security bei Dropbox.

Es könnte so einfach sein ...

Unsere bisherigen Erfahrungen mit Webauthn/Fido2 entsprechen bei weitem noch nicht dem Bild einer einfachen, passwortlosen Welt. Mangelt es bereits den Fido-U2F-Sticks an Unterstützung seitens der Webdienste, ist die Unterstützung von Webauthn extrem selten. Passwortloses Anmelden wird bisher nur von Microsoft unterstützt.

Bei diesen wenigen Anbietern sind die Optionen zum Hinterlegen der Fido2-Sicherheitsschlüssel meist gut versteckt. Nicht selten ist die Funktion in dem verwendeten Setup nicht verfügbar - obwohl alle Komponenten Fido2 beziehungsweise Webauthn unterstützen. Selbst offiziell zertifizierte Systeme wie Android oder Windows Hello funktionieren nicht automatisch mit den Webauthn-Diensten. Das fühlt sich nicht nach einem einfachen System an, das auch unerfahrene Computernutzer leicht nutzen können. Auch die Vermischung des Vorgängerstandards mit Webauthn - wie ihn Google praktiziert - trägt nicht dazu bei, das Verfahren durchsichtiger zu machen. Am Ende konnten wir uns mit der Fido2-Funktion unseres Android-Smartphones bei keinem einzigen real existierenden Dienst anmelden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Android & Fido2: Der Traum vom passwortlosen Anmelden
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 10,99€
  2. (u. a. Tom Clancy's Ghost Recon Breakpoint - Ultimate Edition für 26,99€, Far Cry 5 + Far Cry...

hihp 05. Sep 2019

Das ist falsch - das gilt nur für "resident credentials". Wenn du den Modus nutzt, wo...

hihp 05. Sep 2019

Und, oh Wunder: Es gibt die Dinger auch mit NFC und Bluetooth.

wollek2 24. Mai 2019

Hallo Leute,ich denke das könnte auch eine sichere Alternative sein, da mailbox.org ein...

My1 24. Mai 2019

also ganz ehrlich ich persönlich habe lieber normales 2FA, also ein passwort dass man...

My1 24. Mai 2019

hängt davon ab was man genau nutzt und um welchen teil des Keys es geht. 1) U2F: die...


Folgen Sie uns
       


Polestar 2 Probe gefahren

Wir sind mit dem Polestar 2 eine längere Strecke gefahren und waren von dem Elektroauto von Volvo angetan.

Polestar 2 Probe gefahren Video aufrufen
    •  /