So richtig rund läuft's auch beim Android-Hersteller Google nicht

Google ist in der Fido-Allianz, vertreibt selbst Fido-Sticks und hat die Fido2-Unterstützung auf unser Testgerät gebracht. Die Vermutung liegt nahe, dass Google-Nutzer sich per Webauthn an ihrem Konto anmelden können. Das ist auch richtig, allerdings unterstützt Google Webauthn bisher nur zum Login, nicht aber zum Registrieren von Fido-Sticks - diese müssen noch über das Vorgängerprotokoll Fido im Google-Konto hinterlegt werden. Mit unserem Android-Smartphone klappt das nicht.

Stellenmarkt
  1. DevOps Engineer / Cloud Architekt (d/w/m)
    MT AG, Frankfurt a.M., Köln, München, Ratingen
  2. Junior SAP IT Inhouse Consultant (m/w/d)
    BHS Corrugated Maschinen- und Anlagenbau GmbH, Weiherhammer
Detailsuche

Dennoch können wir unter Android unsere Fido-Sticks über USB, NFC und Bluetooth registrieren und verwenden. Der Login direkt über die Fido2-Funktion von Android klappt damit zwar nicht, wir können uns aber immerhin über unsere Sticks auf Android im Google-Konto anmelden. Wir stecken die USB-C-Variante des Fido2-Sticks von Solo in die Buchse des Smartphones - da er abwärtskompatibel ist, können wir ihn hinterlegen und uns anschließend per Webauthn mit Passwort und Fido2-Stick als zweitem Faktor anmelden. Alternativ bietet Google auch eine Eigenentwicklung zum passwortlosen Anmelden über das Smartphone in den Konten-Optionen an.

Die Vermischung der unterschiedlichen Standards macht es für Nutzer allerdings alles andere als einfach. Bevor Google den Login per Webauthn unterstützte, musste beispielsweise im Firefox Fido U2F erst über die internen Einstellungen (about:config) aktiviert werden. Seit Google - wie Firefox - nativ Webauthn zum Login unterstützt, ist dies nicht mehr notwendig. Hinterlegt werden können sie damit jedoch nach wie vor nicht. Der Nutzer bleibt verwirrt zurück.

Dropbox unterstützt Webauthn - aber nicht Mobil

Dropbox unterstützt Webauthn bereits seit über einem Jahr, allerdings lässt sich die Funktion nicht auf Anhieb nutzen. Zuerst muss eine Zwei-Faktor-Authentifizierung mittels Handynummer oder App eingerichtet werden. Fido und Fido2/Webauthn werden nur als Ausweichmöglichkeit angeboten. Wir installieren die Authenticator-App von Google und richten sie als zweiten Faktor auf Dropbox ein. Alles funktioniert einwandfrei. Nun wollen wir einen Sicherheitsschlüssel unter Android hinzufügen, werden aber abgewiesen: "Derzeit werden Sicherheitsschlüssel nur mit Google Chrome ab Version 38 und Firefox ab Version 60 unterstützt." Dabei haben wir doch bereits getestet, dass Chrome unter Android sehr wohl den Fido2-Standard unterstützt. Doch Dropbox will nicht.

Golem Karrierewelt
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    24.-28.10.2022, virtuell
  2. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    30.11.2022, Virtuell
Weitere IT-Trainings

Wir kontaktieren die Pressestelle von Dropbox und erhalten schnell eine Antwort. Uns wird geraten, den Sicherheitsschlüssel am PC zu hinterlegen. Das klappt problemlos und ermöglicht eine Zwei-Faktor-Authentifizierung mit unserem Fido2-Stick von Yubico - auf Android werden wir allerdings weiterhin nach unserem One-Time-Password (OTP) aus der Authenticator-App gefragt. Weder der Android-interne noch der USB-Sicherheitsschlüssel funktionieren auf unserem Smartphone.

Dropbox arbeitet bereits an dem Problem und möchte es zeitnah beheben. Beim passwortlosen Anmelden gebe es noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen," bevor dies eingeführt werden könnte, erklärt Rajan Kapoor, Director of Security bei Dropbox.

Es könnte so einfach sein ...

Unsere bisherigen Erfahrungen mit Webauthn/Fido2 entsprechen bei weitem noch nicht dem Bild einer einfachen, passwortlosen Welt. Mangelt es bereits den Fido-U2F-Sticks an Unterstützung seitens der Webdienste, ist die Unterstützung von Webauthn extrem selten. Passwortloses Anmelden wird bisher nur von Microsoft unterstützt.

Bei diesen wenigen Anbietern sind die Optionen zum Hinterlegen der Fido2-Sicherheitsschlüssel meist gut versteckt. Nicht selten ist die Funktion in dem verwendeten Setup nicht verfügbar - obwohl alle Komponenten Fido2 beziehungsweise Webauthn unterstützen. Selbst offiziell zertifizierte Systeme wie Android oder Windows Hello funktionieren nicht automatisch mit den Webauthn-Diensten. Das fühlt sich nicht nach einem einfachen System an, das auch unerfahrene Computernutzer leicht nutzen können. Auch die Vermischung des Vorgängerstandards mit Webauthn - wie ihn Google praktiziert - trägt nicht dazu bei, das Verfahren durchsichtiger zu machen. Am Ende konnten wir uns mit der Fido2-Funktion unseres Android-Smartphones bei keinem einzigen real existierenden Dienst anmelden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Android & Fido2: Der Traum vom passwortlosen Anmelden
  1.  
  2. 1
  3. 2


hihp 05. Sep 2019

Das ist falsch - das gilt nur für "resident credentials". Wenn du den Modus nutzt, wo...

hihp 05. Sep 2019

Und, oh Wunder: Es gibt die Dinger auch mit NFC und Bluetooth.

wollek2 24. Mai 2019

Hallo Leute,ich denke das könnte auch eine sichere Alternative sein, da mailbox.org ein...

My1 24. Mai 2019

also ganz ehrlich ich persönlich habe lieber normales 2FA, also ein passwort dass man...



Aktuell auf der Startseite von Golem.de
Ryzen 7950X/7700X im Test
Brachialer Beginn einer neuen AMD-Ära

Nie waren die Ryzen-CPUs besser: extrem schnell, DDR5-Speicher, PCIe Gen5, integrierte Grafik. Der (thermische) Preis dafür ist jedoch hoch.
Ein Test von Marc Sauter und Martin Böckmann

Ryzen 7950X/7700X im Test: Brachialer Beginn einer neuen AMD-Ära
Artikel
  1. Hobbys und maschinenbasiertes Lernen: 1.000 Bilder - und nur zwei Vögel drauf
    Hobbys und maschinenbasiertes Lernen
    1.000 Bilder - und nur zwei Vögel drauf

    Ein Hobby-Vogelkundler fragt mich nach einem Skript, um Vögel in Bildern zu erkennen. Was einfach klingt, bringt mich an den Rand dessen, was ich über maschinelles Lernen weiß.
    Von Marcus Toth

  2. Comeback 2022: Cyberpunk 2077 ist auf Steam wieder größer als The Witcher 3
    Comeback 2022
    Cyberpunk 2077 ist auf Steam wieder größer als The Witcher 3

    Das Science-Fiction-Rollenspiel von CD Projekt Red erlebt auf Steam einen erneuten Spielerzulauf.

  3. Das System E-Mail: Schritt für Schritt vom Sender zum Empfänger
    Das System E-Mail
    Schritt für Schritt vom Sender zum Empfänger

    E-Mail verhalf dem Internet zum Durchbruch, als es noch Arpanet hieß. Zeit für einen Blick auf die Hintergründe dieses Systems - nebst Tipps für einen eigenen Mailserver.
    Von Florian Bottke

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Verkauf bei MMS • CyberWeek: PC-Zubehör, Werkzeug & Co. • Günstig wie nie: Gigabyte RX 6900 XT 864,15€, MSI RTX 3090 1.159€, Fractal Design RGB Tower 129,90€ • MindStar (Palit RTX 3070 549€) • Thrustmaster T300 RS GT 299,99€ • Alternate (iPad Air (2022) 256GB 949,90€) [Werbung]
    •  /