Abo
  • IT-Karriere:

Android & Fido2: Der Traum vom passwortlosen Anmelden

Windows Hello, Android und kleine bunte USB-Sticks sollen mit Webauthn das Passwort überflüssig machen. Wir haben die passwortlose Welt mit unserem Android Smartphone erkundet und festgestellt: Sie klingt zu schön, um wahr zu sein.

Artikel von veröffentlicht am
Leider nur ein Traum: Passwortloses Anmelden mit dem Android Smartphone
Leider nur ein Traum: Passwortloses Anmelden mit dem Android Smartphone (Bild: Martin Wolf/Golem.de)

Sie ist schön, die passwortlose Welt, die Webauthn und Fido2 versprechen. Windows Hello und Android unterstützen sie seit einigen Wochen, die Browser Chrome, Chromium, Firefox und Edge ebenfalls. Dazu kommen eine Handvoll Anbieter, bei denen Nutzer Zwei-Faktor-Authentifizierung oder passwortloses Anmelden per Webauthn einsetzen können. Soweit die Theorie. Wir wollen wissen, wie die Praxis aussieht und versuchen, uns bei verschiedenen Anbietern passwortlos mit unserem Android-Smartphone anzumelden. Das ist gar nicht so einfach - oder eher unmöglich.

Inhalt:
  1. Android & Fido2: Der Traum vom passwortlosen Anmelden
  2. So richtig rund läuft's auch beim Android-Hersteller Google nicht

Ab Version 7 erhalten Android-Smartphones ab Werk oder über ein Update des Play Store die Unterstützung für Webauthn/Fido2. Wir spielen sämtliche verfügbaren Aktualisierungen auf unserem Testsmartphone ein. Doch wir finden unter Android 8.1 mit dem aktuellsten Playstore keinen Hinweis auf Fido2 oder Webauthn in den Einstellungen des Telefons.

Mit der Testseite geht's passwortlos

Auf der Webseite webauthn.io können sich Anwender testweise per Webauthn registrieren und einloggen. Wir testen Chrome mit der Webseite und werden von Android gefragt, ob und welchen Sicherheitsschlüssel wir verwenden möchten. Wir können zwischen Sicherheitsschlüssel per Bluetooth, NFC oder USB sowie Sicherheitsschlüssel mit Fingerabdruck wählen. Für die ersten drei Optionen sind physische Fido2-Sticks notwendig.

Bei Letzterem werden die kryptografischen Schlüssel von Android verwaltet und mit unserem Fingerabdruck geschützt. Wider Erwarten funktioniert dies jedoch auch, wenn eine Bildschirmsperre mit PIN, Passwort oder Muster eingerichtet ist. Wir registrieren uns erfolgreich und können uns anschließend komfortabel mit PIN oder Fingerabdruck einloggen - diese schützen im Hintergrund verwendete kryptografische Schlüssel, von denen der Nutzer im Alltag nichts weiter mitbekommt. Bis hierher ist Webauthn komfortabel und passwortlos. Doch wie schlägt es sich mit echten Diensten?

Microsoft und Android sind keine Freunde

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Senat der Freien und Hansestadt Hamburg - Senatskanzlei, Hamburg

Wir wollen uns bei unserem Microsoft-Konto anmelden. Microsoft ist Teil der Fido-Allianz und unterstützt seit geraumer Zeit Fido2 und Webauthn. Erst kürzlich wurde der AnmeldedienstWindows Hello Fido2 zertifiziert. Die Webdienste von Microsoft sind bisher die einzigen, die Webauthn außer für die Zwei-Faktor-Authentifizierung auch zum passwortlosen Login anbieten. Unter Windows 10 ab Version 1809 konnten wir das passwortlose Einloggen mit Fido2-Sticks erfolgreich testen. Andere Browser sollen unter Windows bald unterstützt werden. Wie es mit anderen Betriebssystemen aussieht, gibt Microsoft nicht an.

Wir loggen uns unter Android auf accounts.microsoft.com ein, der zentralen Login-Seite für Microsofts Onlinedienste wie Outlook, Office 365 oder Onedrive, klicken uns durch die Menüs Sicherheit und finden ganz unten versteckt weitere Sicherheitsoptionen. Unter der Überschrift "Windows Hello und Sicherheitsschlüssel" heißt es jedoch nur: "Dies wird von Ihrem Browser oder Betriebssystem nicht unterstützt." Interessant ist, dass wir ohne unseren hinterlegten Fido2-Stick in das Menü kommen. Microsoft ermöglicht weiterhin die Anmeldung mit dem Benutzernamen und Passwort - allerdings muss das Gerät einmal über einen Code als zweiten Faktor freigeschaltet werden, der beispielsweise an eine hinterlegte alternative E-Mail-Adresse gesendet wird. Auf unsere Nachfrage, warum Webauthn mit Microsoft-Diensten nicht auch mit Fido2-zertifizierten Androids funktioniere, erhalten wir keine Antwort von Microsoft. Bei einem Standard sollten Nutzer ja davon ausgehen können, dass alle zertifizierten Geräte auch funktionieren.

Der Vorreiterstatus von Microsoft gilt nur bei den hauseigenen Produkten - obwohl die Webseite Webauthn.io zeigt, dass auch unter Android ein passwortloses Anmelden technisch problemlos möglich wäre. Ob das mit dem Android-Hersteller Google besser klappt? Wir zücken das Android-Handy und unsere Zugangsdaten.

So richtig rund läuft's auch beim Android-Hersteller Google nicht 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (-83%) 9,99€
  2. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  3. 3,40€
  4. 33,49€

hihp 05. Sep 2019

Das ist falsch - das gilt nur für "resident credentials". Wenn du den Modus nutzt, wo...

hihp 05. Sep 2019

Und, oh Wunder: Es gibt die Dinger auch mit NFC und Bluetooth.

wollek2 24. Mai 2019

Hallo Leute,ich denke das könnte auch eine sichere Alternative sein, da mailbox.org ein...

My1 24. Mai 2019

also ganz ehrlich ich persönlich habe lieber normales 2FA, also ein passwort dass man...

My1 24. Mai 2019

hängt davon ab was man genau nutzt und um welchen teil des Keys es geht. 1) U2F: die...


Folgen Sie uns
       


Asus Studiobook Pro X (Ifa 2019)

Das Studiobook Pro X ist mit Xeon-Prozessor, Quadro GPU und einem Preis von 4300 Euro eindeutig auf professionelle Anwender ausgerichtet.

Asus Studiobook Pro X (Ifa 2019) Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

    •  /