Abo
  • IT-Karriere:

So richtig rund läuft's auch beim Android-Hersteller Google nicht

Google ist in der Fido-Allianz, vertreibt selbst Fido-Sticks und hat die Fido2-Unterstützung auf unser Testgerät gebracht. Die Vermutung liegt nahe, dass Google-Nutzer sich per Webauthn an ihrem Konto anmelden können. Das ist auch richtig, allerdings unterstützt Google Webauthn bisher nur zum Login, nicht aber zum Registrieren von Fido-Sticks - diese müssen noch über das Vorgängerprotokoll Fido im Google-Konto hinterlegt werden. Mit unserem Android-Smartphone klappt das nicht.

Stellenmarkt
  1. 3Tec automation GmbH u. Co. KG, Herford, Bielefeld
  2. RFT kabel Brandenburg GmbH, Brandenburg an der Havel

Dennoch können wir unter Android unsere Fido-Sticks über USB, NFC und Bluetooth registrieren und verwenden. Der Login direkt über die Fido2-Funktion von Android klappt damit zwar nicht, wir können uns aber immerhin über unsere Sticks auf Android im Google-Konto anmelden. Wir stecken die USB-C-Variante des Fido2-Sticks von Solo in die Buchse des Smartphones - da er abwärtskompatibel ist, können wir ihn hinterlegen und uns anschließend per Webauthn mit Passwort und Fido2-Stick als zweitem Faktor anmelden. Alternativ bietet Google auch eine Eigenentwicklung zum passwortlosen Anmelden über das Smartphone in den Konten-Optionen an.

Die Vermischung der unterschiedlichen Standards macht es für Nutzer allerdings alles andere als einfach. Bevor Google den Login per Webauthn unterstützte, musste beispielsweise im Firefox Fido U2F erst über die internen Einstellungen (about:config) aktiviert werden. Seit Google - wie Firefox - nativ Webauthn zum Login unterstützt, ist dies nicht mehr notwendig. Hinterlegt werden können sie damit jedoch nach wie vor nicht. Der Nutzer bleibt verwirrt zurück.

Dropbox unterstützt Webauthn - aber nicht Mobil

Dropbox unterstützt Webauthn bereits seit über einem Jahr, allerdings lässt sich die Funktion nicht auf Anhieb nutzen. Zuerst muss eine Zwei-Faktor-Authentifizierung mittels Handynummer oder App eingerichtet werden. Fido und Fido2/Webauthn werden nur als Ausweichmöglichkeit angeboten. Wir installieren die Authenticator-App von Google und richten sie als zweiten Faktor auf Dropbox ein. Alles funktioniert einwandfrei. Nun wollen wir einen Sicherheitsschlüssel unter Android hinzufügen, werden aber abgewiesen: "Derzeit werden Sicherheitsschlüssel nur mit Google Chrome ab Version 38 und Firefox ab Version 60 unterstützt." Dabei haben wir doch bereits getestet, dass Chrome unter Android sehr wohl den Fido2-Standard unterstützt. Doch Dropbox will nicht.

Wir kontaktieren die Pressestelle von Dropbox und erhalten schnell eine Antwort. Uns wird geraten, den Sicherheitsschlüssel am PC zu hinterlegen. Das klappt problemlos und ermöglicht eine Zwei-Faktor-Authentifizierung mit unserem Fido2-Stick von Yubico - auf Android werden wir allerdings weiterhin nach unserem One-Time-Password (OTP) aus der Authenticator-App gefragt. Weder der Android-interne noch der USB-Sicherheitsschlüssel funktionieren auf unserem Smartphone.

Dropbox arbeitet bereits an dem Problem und möchte es zeitnah beheben. Beim passwortlosen Anmelden gebe es noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen," bevor dies eingeführt werden könnte, erklärt Rajan Kapoor, Director of Security bei Dropbox.

Es könnte so einfach sein ...

Unsere bisherigen Erfahrungen mit Webauthn/Fido2 entsprechen bei weitem noch nicht dem Bild einer einfachen, passwortlosen Welt. Mangelt es bereits den Fido-U2F-Sticks an Unterstützung seitens der Webdienste, ist die Unterstützung von Webauthn extrem selten. Passwortloses Anmelden wird bisher nur von Microsoft unterstützt.

Bei diesen wenigen Anbietern sind die Optionen zum Hinterlegen der Fido2-Sicherheitsschlüssel meist gut versteckt. Nicht selten ist die Funktion in dem verwendeten Setup nicht verfügbar - obwohl alle Komponenten Fido2 beziehungsweise Webauthn unterstützen. Selbst offiziell zertifizierte Systeme wie Android oder Windows Hello funktionieren nicht automatisch mit den Webauthn-Diensten. Das fühlt sich nicht nach einem einfachen System an, das auch unerfahrene Computernutzer leicht nutzen können. Auch die Vermischung des Vorgängerstandards mit Webauthn - wie ihn Google praktiziert - trägt nicht dazu bei, das Verfahren durchsichtiger zu machen. Am Ende konnten wir uns mit der Fido2-Funktion unseres Android-Smartphones bei keinem einzigen real existierenden Dienst anmelden.

 Android & Fido2: Der Traum vom passwortlosen Anmelden
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 449€

wollek2 24. Mai 2019 / Themenstart

Hallo Leute,ich denke das könnte auch eine sichere Alternative sein, da mailbox.org ein...

derdiedas 24. Mai 2019 / Themenstart

Zum einen muss man sie immer dabei haben, zum anderen haben neue Geräte immer öfters gar...

My1 24. Mai 2019 / Themenstart

also ganz ehrlich ich persönlich habe lieber normales 2FA, also ein passwort dass man...

My1 24. Mai 2019 / Themenstart

hängt davon ab was man genau nutzt und um welchen teil des Keys es geht. 1) U2F: die...

My1 24. Mai 2019 / Themenstart

okay aber zumindest wäre es eine option und dank der anonymen alterscheckfunktion könnte...

Kommentieren


Folgen Sie uns
       


Doom Eternal angespielt

Slayer im Kampf gegen die Höllendämonen: Doom Eternal soll noch in diesem Jahr erscheinen.

Doom Eternal angespielt Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

    •  /