Abo
  • IT-Karriere:

Android & Fido2: Der Traum vom passwortlosen Anmelden

Windows Hello, Android und kleine bunte USB-Sticks sollen mit Webauthn das Passwort überflüssig machen. Wir haben die passwortlose Welt mit unserem Android Smartphone erkundet und festgestellt: Sie klingt zu schön, um wahr zu sein.

Artikel von veröffentlicht am
Leider nur ein Traum: Passwortloses Anmelden mit dem Android Smartphone
Leider nur ein Traum: Passwortloses Anmelden mit dem Android Smartphone (Bild: Martin Wolf/Golem.de)

Sie ist schön, die passwortlose Welt, die Webauthn und Fido2 versprechen. Windows Hello und Android unterstützen sie seit einigen Wochen, die Browser Chrome, Chromium, Firefox und Edge ebenfalls. Dazu kommen eine Handvoll Anbieter, bei denen Nutzer Zwei-Faktor-Authentifizierung oder passwortloses Anmelden per Webauthn einsetzen können. Soweit die Theorie. Wir wollen wissen, wie die Praxis aussieht und versuchen, uns bei verschiedenen Anbietern passwortlos mit unserem Android-Smartphone anzumelden. Das ist gar nicht so einfach - oder eher unmöglich.

Inhalt:
  1. Android & Fido2: Der Traum vom passwortlosen Anmelden
  2. So richtig rund läuft's auch beim Android-Hersteller Google nicht

Ab Version 7 erhalten Android-Smartphones ab Werk oder über ein Update des Play Store die Unterstützung für Webauthn/Fido2. Wir spielen sämtliche verfügbaren Aktualisierungen auf unserem Testsmartphone ein. Doch wir finden unter Android 8.1 mit dem aktuellsten Playstore keinen Hinweis auf Fido2 oder Webauthn in den Einstellungen des Telefons.

Mit der Testseite geht's passwortlos

Auf der Webseite webauthn.io können sich Anwender testweise per Webauthn registrieren und einloggen. Wir testen Chrome mit der Webseite und werden von Android gefragt, ob und welchen Sicherheitsschlüssel wir verwenden möchten. Wir können zwischen Sicherheitsschlüssel per Bluetooth, NFC oder USB sowie Sicherheitsschlüssel mit Fingerabdruck wählen. Für die ersten drei Optionen sind physische Fido2-Sticks notwendig.

Bei Letzterem werden die kryptografischen Schlüssel von Android verwaltet und mit unserem Fingerabdruck geschützt. Wider Erwarten funktioniert dies jedoch auch, wenn eine Bildschirmsperre mit PIN, Passwort oder Muster eingerichtet ist. Wir registrieren uns erfolgreich und können uns anschließend komfortabel mit PIN oder Fingerabdruck einloggen - diese schützen im Hintergrund verwendete kryptografische Schlüssel, von denen der Nutzer im Alltag nichts weiter mitbekommt. Bis hierher ist Webauthn komfortabel und passwortlos. Doch wie schlägt es sich mit echten Diensten?

Microsoft und Android sind keine Freunde

Stellenmarkt
  1. d.velop Life Sciences GmbH, Gescher
  2. ENERCON GmbH, Aurich

Wir wollen uns bei unserem Microsoft-Konto anmelden. Microsoft ist Teil der Fido-Allianz und unterstützt seit geraumer Zeit Fido2 und Webauthn. Erst kürzlich wurde der AnmeldedienstWindows Hello Fido2 zertifiziert. Die Webdienste von Microsoft sind bisher die einzigen, die Webauthn außer für die Zwei-Faktor-Authentifizierung auch zum passwortlosen Login anbieten. Unter Windows 10 ab Version 1809 konnten wir das passwortlose Einloggen mit Fido2-Sticks erfolgreich testen. Andere Browser sollen unter Windows bald unterstützt werden. Wie es mit anderen Betriebssystemen aussieht, gibt Microsoft nicht an.

Wir loggen uns unter Android auf accounts.microsoft.com ein, der zentralen Login-Seite für Microsofts Onlinedienste wie Outlook, Office 365 oder Onedrive, klicken uns durch die Menüs Sicherheit und finden ganz unten versteckt weitere Sicherheitsoptionen. Unter der Überschrift "Windows Hello und Sicherheitsschlüssel" heißt es jedoch nur: "Dies wird von Ihrem Browser oder Betriebssystem nicht unterstützt." Interessant ist, dass wir ohne unseren hinterlegten Fido2-Stick in das Menü kommen. Microsoft ermöglicht weiterhin die Anmeldung mit dem Benutzernamen und Passwort - allerdings muss das Gerät einmal über einen Code als zweiten Faktor freigeschaltet werden, der beispielsweise an eine hinterlegte alternative E-Mail-Adresse gesendet wird. Auf unsere Nachfrage, warum Webauthn mit Microsoft-Diensten nicht auch mit Fido2-zertifizierten Androids funktioniere, erhalten wir keine Antwort von Microsoft. Bei einem Standard sollten Nutzer ja davon ausgehen können, dass alle zertifizierten Geräte auch funktionieren.

Der Vorreiterstatus von Microsoft gilt nur bei den hauseigenen Produkten - obwohl die Webseite Webauthn.io zeigt, dass auch unter Android ein passwortloses Anmelden technisch problemlos möglich wäre. Ob das mit dem Android-Hersteller Google besser klappt? Wir zücken das Android-Handy und unsere Zugangsdaten.

So richtig rund läuft's auch beim Android-Hersteller Google nicht 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...
  2. (u. a. Seasonic Focus Gold 450 W für 46,99€ statt über 60€ im Vergleich)
  3. 92,60€
  4. 999€ (Vergleichspreis 1.111€)

wollek2 24. Mai 2019 / Themenstart

Hallo Leute,ich denke das könnte auch eine sichere Alternative sein, da mailbox.org ein...

derdiedas 24. Mai 2019 / Themenstart

Zum einen muss man sie immer dabei haben, zum anderen haben neue Geräte immer öfters gar...

My1 24. Mai 2019 / Themenstart

also ganz ehrlich ich persönlich habe lieber normales 2FA, also ein passwort dass man...

My1 24. Mai 2019 / Themenstart

hängt davon ab was man genau nutzt und um welchen teil des Keys es geht. 1) U2F: die...

My1 24. Mai 2019 / Themenstart

okay aber zumindest wäre es eine option und dank der anonymen alterscheckfunktion könnte...

Kommentieren


Folgen Sie uns
       


Backup per Band angesehen

Das Rattern des Roboterarms und Rauschen der Klimaanlage: Golem.de hat sich Bandlaufwerke in Aktion beim Geoforschungszentrum Potsdam angeschaut. Das Ziel: zu erfahren, was die 60 Jahre alte Technik noch immer sinnvoll macht.

Backup per Band angesehen Video aufrufen
Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    Physik: Den Quanten beim Sprung zusehen
    Physik
    Den Quanten beim Sprung zusehen

    Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
    Von Frank Wunderlich-Pfeiffer


      Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
      Ada und Spark
      Mehr Sicherheit durch bessere Programmiersprachen

      Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
      Von Johannes Kanig

      1. Das andere How-to Deutsch lernen für Programmierer
      2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
      3. Software-Entwickler Welche Programmiersprache soll ich lernen?

        •  /