Android & Fido2: Der Traum vom passwortlosen Anmelden

Windows Hello, Android und kleine bunte USB-Sticks sollen mit Webauthn das Passwort überflüssig machen. Wir haben die passwortlose Welt mit unserem Android Smartphone erkundet und festgestellt: Sie klingt zu schön, um wahr zu sein.

Artikel von veröffentlicht am
Leider nur ein Traum: Passwortloses Anmelden mit dem Android Smartphone
Leider nur ein Traum: Passwortloses Anmelden mit dem Android Smartphone (Bild: Martin Wolf/Golem.de)

Sie ist schön, die passwortlose Welt, die Webauthn und Fido2 versprechen. Windows Hello und Android unterstützen sie seit einigen Wochen, die Browser Chrome, Chromium, Firefox und Edge ebenfalls. Dazu kommen eine Handvoll Anbieter, bei denen Nutzer Zwei-Faktor-Authentifizierung oder passwortloses Anmelden per Webauthn einsetzen können. Soweit die Theorie. Wir wollen wissen, wie die Praxis aussieht und versuchen, uns bei verschiedenen Anbietern passwortlos mit unserem Android-Smartphone anzumelden. Das ist gar nicht so einfach - oder eher unmöglich.

Inhalt:
  1. Android & Fido2: Der Traum vom passwortlosen Anmelden
  2. So richtig rund läuft's auch beim Android-Hersteller Google nicht

Ab Version 7 erhalten Android-Smartphones ab Werk oder über ein Update des Play Store die Unterstützung für Webauthn/Fido2. Wir spielen sämtliche verfügbaren Aktualisierungen auf unserem Testsmartphone ein. Doch wir finden unter Android 8.1 mit dem aktuellsten Playstore keinen Hinweis auf Fido2 oder Webauthn in den Einstellungen des Telefons.

Mit der Testseite geht's passwortlos

Auf der Webseite webauthn.io können sich Anwender testweise per Webauthn registrieren und einloggen. Wir testen Chrome mit der Webseite und werden von Android gefragt, ob und welchen Sicherheitsschlüssel wir verwenden möchten. Wir können zwischen Sicherheitsschlüssel per Bluetooth, NFC oder USB sowie Sicherheitsschlüssel mit Fingerabdruck wählen. Für die ersten drei Optionen sind physische Fido2-Sticks notwendig.

Bei Letzterem werden die kryptografischen Schlüssel von Android verwaltet und mit unserem Fingerabdruck geschützt. Wider Erwarten funktioniert dies jedoch auch, wenn eine Bildschirmsperre mit PIN, Passwort oder Muster eingerichtet ist. Wir registrieren uns erfolgreich und können uns anschließend komfortabel mit PIN oder Fingerabdruck einloggen - diese schützen im Hintergrund verwendete kryptografische Schlüssel, von denen der Nutzer im Alltag nichts weiter mitbekommt. Bis hierher ist Webauthn komfortabel und passwortlos. Doch wie schlägt es sich mit echten Diensten?

Microsoft und Android sind keine Freunde

Stellenmarkt
  1. Backend Entwickler TYPO3 (w/m/d)
    DMK E-BUSINESS GmbH, Potsdam, Köln, Chemnitz
  2. IT-System Engineer (w/m/d) Schwerpunkt Linux-Server
    Computacenter AG & Co. oHG, verschiedene Standorte
Detailsuche

Wir wollen uns bei unserem Microsoft-Konto anmelden. Microsoft ist Teil der Fido-Allianz und unterstützt seit geraumer Zeit Fido2 und Webauthn. Erst kürzlich wurde der AnmeldedienstWindows Hello Fido2 zertifiziert. Die Webdienste von Microsoft sind bisher die einzigen, die Webauthn außer für die Zwei-Faktor-Authentifizierung auch zum passwortlosen Login anbieten. Unter Windows 10 ab Version 1809 konnten wir das passwortlose Einloggen mit Fido2-Sticks erfolgreich testen. Andere Browser sollen unter Windows bald unterstützt werden. Wie es mit anderen Betriebssystemen aussieht, gibt Microsoft nicht an.

Wir loggen uns unter Android auf accounts.microsoft.com ein, der zentralen Login-Seite für Microsofts Onlinedienste wie Outlook, Office 365 oder Onedrive, klicken uns durch die Menüs Sicherheit und finden ganz unten versteckt weitere Sicherheitsoptionen. Unter der Überschrift "Windows Hello und Sicherheitsschlüssel" heißt es jedoch nur: "Dies wird von Ihrem Browser oder Betriebssystem nicht unterstützt." Interessant ist, dass wir ohne unseren hinterlegten Fido2-Stick in das Menü kommen. Microsoft ermöglicht weiterhin die Anmeldung mit dem Benutzernamen und Passwort - allerdings muss das Gerät einmal über einen Code als zweiten Faktor freigeschaltet werden, der beispielsweise an eine hinterlegte alternative E-Mail-Adresse gesendet wird. Auf unsere Nachfrage, warum Webauthn mit Microsoft-Diensten nicht auch mit Fido2-zertifizierten Androids funktioniere, erhalten wir keine Antwort von Microsoft. Bei einem Standard sollten Nutzer ja davon ausgehen können, dass alle zertifizierten Geräte auch funktionieren.

Der Vorreiterstatus von Microsoft gilt nur bei den hauseigenen Produkten - obwohl die Webseite Webauthn.io zeigt, dass auch unter Android ein passwortloses Anmelden technisch problemlos möglich wäre. Ob das mit dem Android-Hersteller Google besser klappt? Wir zücken das Android-Handy und unsere Zugangsdaten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
So richtig rund läuft's auch beim Android-Hersteller Google nicht 
  1. 1
  2. 2
  3.  


hihp 05. Sep 2019

Das ist falsch - das gilt nur für "resident credentials". Wenn du den Modus nutzt, wo...

hihp 05. Sep 2019

Und, oh Wunder: Es gibt die Dinger auch mit NFC und Bluetooth.

wollek2 24. Mai 2019

Hallo Leute,ich denke das könnte auch eine sichere Alternative sein, da mailbox.org ein...

My1 24. Mai 2019

also ganz ehrlich ich persönlich habe lieber normales 2FA, also ein passwort dass man...

My1 24. Mai 2019

hängt davon ab was man genau nutzt und um welchen teil des Keys es geht. 1) U2F: die...



Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. Housemarque: Returnal bekommt Einmal-Savegame zum Pausieren
    Housemarque
    Returnal bekommt Einmal-Savegame zum Pausieren

    Endlich können Spieler das Actionspiel Returnal innerhalb einer Partie verlassen: Ein Update bringt einen Einmal-Speicherpunkt.

  2. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

  3. Smartphone-Tarife: Tchibo bietet Jahres-Tarif mit 72 GByte
    Smartphone-Tarife
    Tchibo bietet Jahres-Tarif mit 72 GByte

    In diesem Jahr stehen drei unterschiedliche Jahres-Tarife für Tchibo-Kunden zur Wahl.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 erhältlich ab 2.249€ • EA-Spiele für alle Plattformen günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /