Abo
  • IT-Karriere:

Android & Fido2: Der Traum vom passwortlosen Anmelden

Windows Hello, Android und kleine bunte USB-Sticks sollen mit Webauthn das Passwort überflüssig machen. Wir haben die passwortlose Welt mit unserem Android Smartphone erkundet und festgestellt: Sie klingt zu schön, um wahr zu sein.

Artikel von veröffentlicht am
Leider nur ein Traum: Passwortloses Anmelden mit dem Android Smartphone
Leider nur ein Traum: Passwortloses Anmelden mit dem Android Smartphone (Bild: Martin Wolf/Golem.de)

Sie ist schön, die passwortlose Welt, die Webauthn und Fido2 versprechen. Windows Hello und Android unterstützen sie seit einigen Wochen, die Browser Chrome, Chromium, Firefox und Edge ebenfalls. Dazu kommen eine Handvoll Anbieter, bei denen Nutzer Zwei-Faktor-Authentifizierung oder passwortloses Anmelden per Webauthn einsetzen können. Soweit die Theorie. Wir wollen wissen, wie die Praxis aussieht und versuchen, uns bei verschiedenen Anbietern passwortlos mit unserem Android-Smartphone anzumelden. Das ist gar nicht so einfach - oder eher unmöglich.

Inhalt:
  1. Android & Fido2: Der Traum vom passwortlosen Anmelden
  2. So richtig rund läuft's auch beim Android-Hersteller Google nicht

Ab Version 7 erhalten Android-Smartphones ab Werk oder über ein Update des Play Store die Unterstützung für Webauthn/Fido2. Wir spielen sämtliche verfügbaren Aktualisierungen auf unserem Testsmartphone ein. Doch wir finden unter Android 8.1 mit dem aktuellsten Playstore keinen Hinweis auf Fido2 oder Webauthn in den Einstellungen des Telefons.

Mit der Testseite geht's passwortlos

Auf der Webseite webauthn.io können sich Anwender testweise per Webauthn registrieren und einloggen. Wir testen Chrome mit der Webseite und werden von Android gefragt, ob und welchen Sicherheitsschlüssel wir verwenden möchten. Wir können zwischen Sicherheitsschlüssel per Bluetooth, NFC oder USB sowie Sicherheitsschlüssel mit Fingerabdruck wählen. Für die ersten drei Optionen sind physische Fido2-Sticks notwendig.

Bei Letzterem werden die kryptografischen Schlüssel von Android verwaltet und mit unserem Fingerabdruck geschützt. Wider Erwarten funktioniert dies jedoch auch, wenn eine Bildschirmsperre mit PIN, Passwort oder Muster eingerichtet ist. Wir registrieren uns erfolgreich und können uns anschließend komfortabel mit PIN oder Fingerabdruck einloggen - diese schützen im Hintergrund verwendete kryptografische Schlüssel, von denen der Nutzer im Alltag nichts weiter mitbekommt. Bis hierher ist Webauthn komfortabel und passwortlos. Doch wie schlägt es sich mit echten Diensten?

Microsoft und Android sind keine Freunde

Stellenmarkt
  1. TeamBank AG, Nürnberg
  2. LexCom Informationssysteme GmbH, München

Wir wollen uns bei unserem Microsoft-Konto anmelden. Microsoft ist Teil der Fido-Allianz und unterstützt seit geraumer Zeit Fido2 und Webauthn. Erst kürzlich wurde der AnmeldedienstWindows Hello Fido2 zertifiziert. Die Webdienste von Microsoft sind bisher die einzigen, die Webauthn außer für die Zwei-Faktor-Authentifizierung auch zum passwortlosen Login anbieten. Unter Windows 10 ab Version 1809 konnten wir das passwortlose Einloggen mit Fido2-Sticks erfolgreich testen. Andere Browser sollen unter Windows bald unterstützt werden. Wie es mit anderen Betriebssystemen aussieht, gibt Microsoft nicht an.

Wir loggen uns unter Android auf accounts.microsoft.com ein, der zentralen Login-Seite für Microsofts Onlinedienste wie Outlook, Office 365 oder Onedrive, klicken uns durch die Menüs Sicherheit und finden ganz unten versteckt weitere Sicherheitsoptionen. Unter der Überschrift "Windows Hello und Sicherheitsschlüssel" heißt es jedoch nur: "Dies wird von Ihrem Browser oder Betriebssystem nicht unterstützt." Interessant ist, dass wir ohne unseren hinterlegten Fido2-Stick in das Menü kommen. Microsoft ermöglicht weiterhin die Anmeldung mit dem Benutzernamen und Passwort - allerdings muss das Gerät einmal über einen Code als zweiten Faktor freigeschaltet werden, der beispielsweise an eine hinterlegte alternative E-Mail-Adresse gesendet wird. Auf unsere Nachfrage, warum Webauthn mit Microsoft-Diensten nicht auch mit Fido2-zertifizierten Androids funktioniere, erhalten wir keine Antwort von Microsoft. Bei einem Standard sollten Nutzer ja davon ausgehen können, dass alle zertifizierten Geräte auch funktionieren.

Der Vorreiterstatus von Microsoft gilt nur bei den hauseigenen Produkten - obwohl die Webseite Webauthn.io zeigt, dass auch unter Android ein passwortloses Anmelden technisch problemlos möglich wäre. Ob das mit dem Android-Hersteller Google besser klappt? Wir zücken das Android-Handy und unsere Zugangsdaten.

So richtig rund läuft's auch beim Android-Hersteller Google nicht 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 72,99€ (Release am 19. September)
  2. 294€
  3. 157,90€ + Versand

wollek2 24. Mai 2019 / Themenstart

Hallo Leute,ich denke das könnte auch eine sichere Alternative sein, da mailbox.org ein...

derdiedas 24. Mai 2019 / Themenstart

Zum einen muss man sie immer dabei haben, zum anderen haben neue Geräte immer öfters gar...

My1 24. Mai 2019 / Themenstart

also ganz ehrlich ich persönlich habe lieber normales 2FA, also ein passwort dass man...

My1 24. Mai 2019 / Themenstart

hängt davon ab was man genau nutzt und um welchen teil des Keys es geht. 1) U2F: die...

My1 24. Mai 2019 / Themenstart

okay aber zumindest wäre es eine option und dank der anonymen alterscheckfunktion könnte...

Kommentieren


Folgen Sie uns
       


Zenbook Pro Duo - Hands on

Braucht man das? Gut aussehen tut das Zenbook Pro Duo jedenfalls.

Zenbook Pro Duo - Hands on Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
    3. Software-Entwickler Welche Programmiersprache soll ich lernen?

    Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
    Nuki Smart Lock 2.0 im Test
    Tolles Aufsatzschloss hat Software-Schwächen

    Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
    Ein Test von Ingo Pakalski


        •  /