Android & Fido2: Der Traum vom passwortlosen Anmelden
Sie ist schön, die passwortlose Welt, die Webauthn und Fido2 versprechen. Windows Hello und Android unterstützen(öffnet im neuen Fenster) sie seit einigen Wochen, die Browser Chrome, Chromium, Firefox und Edge ebenfalls. Dazu kommen eine Handvoll Anbieter, bei denen Nutzer Zwei-Faktor-Authentifizierung oder passwortloses Anmelden per Webauthn einsetzen können. Soweit die Theorie. Wir wollen wissen, wie die Praxis aussieht und versuchen, uns bei verschiedenen Anbietern passwortlos mit unserem Android-Smartphone anzumelden. Das ist gar nicht so einfach - oder eher unmöglich.
Ab Version 7 erhalten Android-Smartphones ab Werk oder über ein Update des Play Store die Unterstützung für Webauthn/Fido2. Wir spielen sämtliche verfügbaren Aktualisierungen auf unserem Testsmartphone ein. Doch wir finden unter Android 8.1 mit dem aktuellsten Playstore keinen Hinweis auf Fido2 oder Webauthn in den Einstellungen des Telefons.
Mit der Testseite geht's passwortlos
Auf der Webseite webauthn.io(öffnet im neuen Fenster) können sich Anwender testweise per Webauthn registrieren und einloggen. Wir testen Chrome mit der Webseite und werden von Android gefragt, ob und welchen Sicherheitsschlüssel wir verwenden möchten. Wir können zwischen Sicherheitsschlüssel per Bluetooth, NFC oder USB sowie Sicherheitsschlüssel mit Fingerabdruck wählen. Für die ersten drei Optionen sind physische Fido2-Sticks notwendig.
Bei Letzterem werden die kryptografischen Schlüssel von Android verwaltet und mit unserem Fingerabdruck geschützt. Wider Erwarten funktioniert dies jedoch auch, wenn eine Bildschirmsperre mit PIN, Passwort oder Muster eingerichtet ist. Wir registrieren uns erfolgreich und können uns anschließend komfortabel mit PIN oder Fingerabdruck einloggen - diese schützen im Hintergrund verwendete kryptografische Schlüssel, von denen der Nutzer im Alltag nichts weiter mitbekommt. Bis hierher ist Webauthn komfortabel und passwortlos. Doch wie schlägt es sich mit echten Diensten?
Microsoft und Android sind keine Freunde
Wir wollen uns bei unserem Microsoft-Konto anmelden. Microsoft ist Teil der Fido-Allianz und unterstützt seit geraumer Zeit Fido2 und Webauthn. Erst kürzlich wurde der Anmeldedienst Windows Hello Fido2 zertifiziert . Die Webdienste von Microsoft sind bisher die einzigen, die Webauthn außer für die Zwei-Faktor-Authentifizierung auch zum passwortlosen Login anbieten. Unter Windows 10 ab Version 1809 konnten wir das passwortlose Einloggen mit Fido2-Sticks erfolgreich testen . Andere Browser sollen unter Windows bald unterstützt werden. Wie es mit anderen Betriebssystemen aussieht, gibt Microsoft nicht an.
.jpg)
Wir loggen uns unter Android auf accounts.microsoft.com ein, der zentralen Login-Seite für Microsofts Onlinedienste wie Outlook, Office 365 oder Onedrive, klicken uns durch die Menüs Sicherheit und finden ganz unten versteckt weitere Sicherheitsoptionen. Unter der Überschrift "Windows Hello und Sicherheitsschlüssel" heißt es jedoch nur: "Dies wird von Ihrem Browser oder Betriebssystem nicht unterstützt." Interessant ist, dass wir ohne unseren hinterlegten Fido2-Stick in das Menü kommen. Microsoft ermöglicht weiterhin die Anmeldung mit dem Benutzernamen und Passwort - allerdings muss das Gerät einmal über einen Code als zweiten Faktor freigeschaltet werden, der beispielsweise an eine hinterlegte alternative E-Mail-Adresse gesendet wird. Auf unsere Nachfrage, warum Webauthn mit Microsoft-Diensten nicht auch mit Fido2-zertifizierten Androids funktioniere, erhalten wir keine Antwort von Microsoft. Bei einem Standard sollten Nutzer ja davon ausgehen können, dass alle zertifizierten Geräte auch funktionieren.
Der Vorreiterstatus von Microsoft gilt nur bei den hauseigenen Produkten - obwohl die Webseite Webauthn.io zeigt, dass auch unter Android ein passwortloses Anmelden technisch problemlos möglich wäre. Ob das mit dem Android-Hersteller Google besser klappt? Wir zücken das Android-Handy und unsere Zugangsdaten.
So richtig rund läuft's auch beim Android-Hersteller Google nicht
Google ist in der Fido-Allianz, vertreibt selbst Fido-Sticks und hat die Fido2-Unterstützung auf unser Testgerät gebracht. Die Vermutung liegt nahe, dass Google-Nutzer sich per Webauthn an ihrem Konto anmelden können. Das ist auch richtig, allerdings unterstützt Google Webauthn bisher nur zum Login(öffnet im neuen Fenster) , nicht aber zum Registrieren von Fido-Sticks - diese müssen noch über das Vorgängerprotokoll Fido im Google-Konto hinterlegt werden. Mit unserem Android-Smartphone klappt das nicht.
Dennoch können wir unter Android unsere Fido-Sticks über USB, NFC und Bluetooth registrieren und verwenden. Der Login direkt über die Fido2-Funktion von Android klappt damit zwar nicht, wir können uns aber immerhin über unsere Sticks auf Android im Google-Konto anmelden. Wir stecken die USB-C-Variante des Fido2-Sticks von Solo in die Buchse des Smartphones - da er abwärtskompatibel ist, können wir ihn hinterlegen und uns anschließend per Webauthn mit Passwort und Fido2-Stick als zweitem Faktor anmelden. Alternativ bietet Google auch eine Eigenentwicklung zum passwortlosen Anmelden über das Smartphone in den Konten-Optionen an.
Die Vermischung der unterschiedlichen Standards macht es für Nutzer allerdings alles andere als einfach. Bevor Google den Login per Webauthn unterstützte, musste beispielsweise im Firefox Fido U2F erst über die internen Einstellungen (about:config) aktiviert werden. Seit Google - wie Firefox - nativ Webauthn zum Login unterstützt, ist dies nicht mehr notwendig. Hinterlegt werden können sie damit jedoch nach wie vor nicht. Der Nutzer bleibt verwirrt zurück.
Dropbox unterstützt Webauthn - aber nicht Mobil
Dropbox unterstützt Webauthn bereits seit über einem Jahr, allerdings lässt sich die Funktion nicht auf Anhieb nutzen. Zuerst muss eine Zwei-Faktor-Authentifizierung mittels Handynummer oder App eingerichtet werden. Fido und Fido2/Webauthn werden nur als Ausweichmöglichkeit angeboten. Wir installieren die Authenticator-App von Google und richten sie als zweiten Faktor auf Dropbox ein. Alles funktioniert einwandfrei. Nun wollen wir einen Sicherheitsschlüssel unter Android hinzufügen, werden aber abgewiesen: "Derzeit werden Sicherheitsschlüssel nur mit Google Chrome ab Version 38 und Firefox ab Version 60 unterstützt." Dabei haben wir doch bereits getestet, dass Chrome unter Android sehr wohl den Fido2-Standard unterstützt. Doch Dropbox will nicht.
Wir kontaktieren die Pressestelle von Dropbox und erhalten schnell eine Antwort. Uns wird geraten, den Sicherheitsschlüssel am PC zu hinterlegen. Das klappt problemlos und ermöglicht eine Zwei-Faktor-Authentifizierung mit unserem Fido2-Stick von Yubico - auf Android werden wir allerdings weiterhin nach unserem One-Time-Password (OTP) aus der Authenticator-App gefragt. Weder der Android-interne noch der USB-Sicherheitsschlüssel funktionieren auf unserem Smartphone.
Dropbox arbeitet bereits an dem Problem und möchte es zeitnah beheben. Beim passwortlosen Anmelden gebe es noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen," bevor dies eingeführt werden könnte, erklärt Rajan Kapoor, Director of Security bei Dropbox.
Es könnte so einfach sein ...
Unsere bisherigen Erfahrungen mit Webauthn/Fido2 entsprechen bei weitem noch nicht dem Bild einer einfachen, passwortlosen Welt. Mangelt es bereits den Fido-U2F-Sticks an Unterstützung seitens der Webdienste, ist die Unterstützung von Webauthn extrem selten. Passwortloses Anmelden wird bisher nur von Microsoft unterstützt.
Bei diesen wenigen Anbietern sind die Optionen zum Hinterlegen der Fido2-Sicherheitsschlüssel meist gut versteckt. Nicht selten ist die Funktion in dem verwendeten Setup nicht verfügbar - obwohl alle Komponenten Fido2 beziehungsweise Webauthn unterstützen. Selbst offiziell zertifizierte Systeme wie Android oder Windows Hello funktionieren nicht automatisch mit den Webauthn-Diensten. Das fühlt sich nicht nach einem einfachen System an, das auch unerfahrene Computernutzer leicht nutzen können. Auch die Vermischung des Vorgängerstandards mit Webauthn - wie ihn Google praktiziert - trägt nicht dazu bei, das Verfahren durchsichtiger zu machen. Am Ende konnten wir uns mit der Fido2-Funktion unseres Android-Smartphones bei keinem einzigen real existierenden Dienst anmelden.