Abo
  • IT-Karriere:

So richtig rund läuft's auch beim Android-Hersteller Google nicht

Google ist in der Fido-Allianz, vertreibt selbst Fido-Sticks und hat die Fido2-Unterstützung auf unser Testgerät gebracht. Die Vermutung liegt nahe, dass Google-Nutzer sich per Webauthn an ihrem Konto anmelden können. Das ist auch richtig, allerdings unterstützt Google Webauthn bisher nur zum Login, nicht aber zum Registrieren von Fido-Sticks - diese müssen noch über das Vorgängerprotokoll Fido im Google-Konto hinterlegt werden. Mit unserem Android-Smartphone klappt das nicht.

Stellenmarkt
  1. Niels-Stensen-Kliniken - Marienhospital Osnabrück GmbH, Osnabrück
  2. IT-Systemhaus der Bundesagentur für Arbeit, Nürnberg

Dennoch können wir unter Android unsere Fido-Sticks über USB, NFC und Bluetooth registrieren und verwenden. Der Login direkt über die Fido2-Funktion von Android klappt damit zwar nicht, wir können uns aber immerhin über unsere Sticks auf Android im Google-Konto anmelden. Wir stecken die USB-C-Variante des Fido2-Sticks von Solo in die Buchse des Smartphones - da er abwärtskompatibel ist, können wir ihn hinterlegen und uns anschließend per Webauthn mit Passwort und Fido2-Stick als zweitem Faktor anmelden. Alternativ bietet Google auch eine Eigenentwicklung zum passwortlosen Anmelden über das Smartphone in den Konten-Optionen an.

Die Vermischung der unterschiedlichen Standards macht es für Nutzer allerdings alles andere als einfach. Bevor Google den Login per Webauthn unterstützte, musste beispielsweise im Firefox Fido U2F erst über die internen Einstellungen (about:config) aktiviert werden. Seit Google - wie Firefox - nativ Webauthn zum Login unterstützt, ist dies nicht mehr notwendig. Hinterlegt werden können sie damit jedoch nach wie vor nicht. Der Nutzer bleibt verwirrt zurück.

Dropbox unterstützt Webauthn - aber nicht Mobil

Dropbox unterstützt Webauthn bereits seit über einem Jahr, allerdings lässt sich die Funktion nicht auf Anhieb nutzen. Zuerst muss eine Zwei-Faktor-Authentifizierung mittels Handynummer oder App eingerichtet werden. Fido und Fido2/Webauthn werden nur als Ausweichmöglichkeit angeboten. Wir installieren die Authenticator-App von Google und richten sie als zweiten Faktor auf Dropbox ein. Alles funktioniert einwandfrei. Nun wollen wir einen Sicherheitsschlüssel unter Android hinzufügen, werden aber abgewiesen: "Derzeit werden Sicherheitsschlüssel nur mit Google Chrome ab Version 38 und Firefox ab Version 60 unterstützt." Dabei haben wir doch bereits getestet, dass Chrome unter Android sehr wohl den Fido2-Standard unterstützt. Doch Dropbox will nicht.

Wir kontaktieren die Pressestelle von Dropbox und erhalten schnell eine Antwort. Uns wird geraten, den Sicherheitsschlüssel am PC zu hinterlegen. Das klappt problemlos und ermöglicht eine Zwei-Faktor-Authentifizierung mit unserem Fido2-Stick von Yubico - auf Android werden wir allerdings weiterhin nach unserem One-Time-Password (OTP) aus der Authenticator-App gefragt. Weder der Android-interne noch der USB-Sicherheitsschlüssel funktionieren auf unserem Smartphone.

Dropbox arbeitet bereits an dem Problem und möchte es zeitnah beheben. Beim passwortlosen Anmelden gebe es noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen," bevor dies eingeführt werden könnte, erklärt Rajan Kapoor, Director of Security bei Dropbox.

Es könnte so einfach sein ...

Unsere bisherigen Erfahrungen mit Webauthn/Fido2 entsprechen bei weitem noch nicht dem Bild einer einfachen, passwortlosen Welt. Mangelt es bereits den Fido-U2F-Sticks an Unterstützung seitens der Webdienste, ist die Unterstützung von Webauthn extrem selten. Passwortloses Anmelden wird bisher nur von Microsoft unterstützt.

Bei diesen wenigen Anbietern sind die Optionen zum Hinterlegen der Fido2-Sicherheitsschlüssel meist gut versteckt. Nicht selten ist die Funktion in dem verwendeten Setup nicht verfügbar - obwohl alle Komponenten Fido2 beziehungsweise Webauthn unterstützen. Selbst offiziell zertifizierte Systeme wie Android oder Windows Hello funktionieren nicht automatisch mit den Webauthn-Diensten. Das fühlt sich nicht nach einem einfachen System an, das auch unerfahrene Computernutzer leicht nutzen können. Auch die Vermischung des Vorgängerstandards mit Webauthn - wie ihn Google praktiziert - trägt nicht dazu bei, das Verfahren durchsichtiger zu machen. Am Ende konnten wir uns mit der Fido2-Funktion unseres Android-Smartphones bei keinem einzigen real existierenden Dienst anmelden.

 Android & Fido2: Der Traum vom passwortlosen Anmelden
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Paperwhite 6 Zoll für 89,99€, Der neue Kindle mit integriertem Frontlicht für 59,99€)
  2. 69,90€ (Bestpreis!)
  3. (u. a. Forza Horizon 4 + LEGO Speed Champions Bundle (Xbox One / Windows 10) für 37,99€, PSN...
  4. (u. a. Fire HD 8 für 69,99€, Fire 7 für 44,99€, Fire HD 10 für 104,99€)

hihp 05. Sep 2019

Das ist falsch - das gilt nur für "resident credentials". Wenn du den Modus nutzt, wo...

hihp 05. Sep 2019

Und, oh Wunder: Es gibt die Dinger auch mit NFC und Bluetooth.

wollek2 24. Mai 2019

Hallo Leute,ich denke das könnte auch eine sichere Alternative sein, da mailbox.org ein...

My1 24. Mai 2019

also ganz ehrlich ich persönlich habe lieber normales 2FA, also ein passwort dass man...

My1 24. Mai 2019

hängt davon ab was man genau nutzt und um welchen teil des Keys es geht. 1) U2F: die...


Folgen Sie uns
       


Lenovo Ideapad S540 - Hands on (Ifa 2019)

Das Ideapad S540 hat ein fast unsichtbares Touchpad, das einige Schwierigkeiten bereitet. Doch ist das Gerät trotzdem ein gutes Ryzen-Notebook? Golem.de schaut es sich an.

Lenovo Ideapad S540 - Hands on (Ifa 2019) Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

    •  /