Webauthn: Firefox für Android unterstützt passwortloses Anmelden

Mit der aktuellen Version 68 des Firefox-Browsers für Android ist das passwortlose Anmelden bei Webseiten per Webauthn-Standard möglich. Darauf weist der Hersteller Mozilla in seinem Security-Blog hin. Der dazugehörige Standard ist Anfang dieses Jahres verabschiedet worden.

Webauthn nutzt Public-Key-Kryptografie. Dabei werden öffentliche und private Schlüssel generiert. Der öffentliche Schlüssel wird zwischen Nutzer und Webdienst ausgetauscht. Will sich der Nutzer einloggen, schickt der Dienst eine Challenge an ihn, mit der er beweist, dass er im Besitz des privaten Schlüssels ist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft, ob der Einloggende auch wirklich im Besitz des privaten Schlüssels ist.

Um das Versprechen des passwortlosen Logins zu halten und dabei den privaten Schlüssel dennoch abzusichern, kann dieser durch biometrische Merkmale wie etwa Fingerabdrücke gesichert werden. Ebenso können auch Fido2-Sticks per Bluetooth, NFC oder USB für Webauthn mit Firefox für Android genutzt werden.

Trotz Browser-Unterstützung gibt es mit der Technik aber noch einige Anlaufschwierigkeiten. Für Microsoft-Accounts etwa wird ein Windows 10 benötigt und Google-Accounts verlangen zur Einrichtung einen Desktop-Browser. Und auch sonst ist die Verbreitung noch nicht groß. Dropbox etwa unterstützt Webauthn, aber nur als zweiten Faktor, nicht direkt zum Anmelden.

Mozilla weist außerdem darauf hin, dass die Technik nur in dem stabilen Browser Firefox für Android funktioniert. Die Vorschau auf eine neue überarbeitete Version des Android-Browsers auf Basis von Geckoview unterstützt Webauthn noch nicht.