• IT-Karriere:
  • Services:

Webauthn unter Android ausprobiert: Dropbox kann, was andere nicht können

Android kann Zwei-Faktor-Authentifizierung und passwortloses Anmelden per Fido2 von Haus aus - doch ohne Onlinedienste, die die Funktion unterstützen, bringt das wenig. Mit Dropbox ändert sich das nun. Wir haben uns angeschaut, wie gut das funktioniert.

Artikel von veröffentlicht am
Das Smartphone als Fido-Stick.
Das Smartphone als Fido-Stick. (Bild: Moritz Tremmel/Golem.de)

Bisher war die Fido2-Zertifizierung von Android vor allem eines: ein Zertifikat. Es mangelte an einem Dienst, mit dem die Funktion ernsthaft verwendet werden konnte. Mit Dropbox ändert sich das nun. Nach regem Austausch mit Golem.de hat Dropbox Webauthn auch unter Android freigeschaltet. Es ist damit der erste Dienst, mit dem wir die Android-interne Zwei-Faktor-Authentifizierung nutzen können - ganz ohne Fido-Stick und irgendwelche Schwierigkeiten.

Stellenmarkt
  1. BIG direkt gesund, Dortmund
  2. über ifp l Personalberatung Managementdiagnostik, Rheinland

Ursprünglich hatte Dropbox Webauthn auf mobilen Geräten bewusst deaktiviert: "Als wir begonnen haben, Webauthn zu integrieren, [war] der Support für den Standard auf Browsern für mobile und Tablet-Geräte noch nicht umfassend gegeben", erklärte Rajan Kapoor, Director of Security bei Dropbox. Die Sicherheitsschlüssel der Nutzer hätten schlicht nicht funktioniert. "Durch das Deaktivieren von Webauthn für diese Art von Sitzungen haben wir Verwirrung unter unseren Nutzern vermeiden können", sagt Kapoor.

Auch uns hat der völlig willkürlich erscheinende Support der verschiedenen Geräte und Onlinedienstanbieter bisher verwirrt und enttäuscht zurückgelassen. Im Unterschied zu Microsoft interessierte sich Dropbox für unsere Anfrage, warum Webauthn denn nicht unter Android funktioniere. Der Onlinespeicherdienst versprach, sich des Problems anzunehmen und ein Ticket mit Priorität einzurichten. Wenige Tage später - und leider nach Redaktionsschluss für unseren Test - erreichte Golem.de die Nachricht von Dropbox: "Da die [mobilen] Browser den Standard von Webauthn mittlerweile unterstützen, wird Dropbox daran arbeiten, diese Einschränkung aufzuheben."

Webauthn auch mobil

Das klingt nach irgendwann, war aber schon drei Tage später erledigt: "Deine Anfrage hat einiges in Bewegung gesetzt! Unsere Kollegen haben Webauthn nun für Mobile aktiviert", schreibt uns die Pressesprecherin Jenny Wiethölter. Das müssen wir natürlich ausprobieren.

Wir loggen uns mit unserem Android-Testgerät auf Dropbox ein und versuchen, einen Sicherheitsschlüssel zu hinterlegen. Wurden wir bisher mit einer Fehlermeldung abgespeist, dass unser Browser nicht unterstützt werde, poppt nun ein Auswahlfenster auf. Wir werden gefragt, ob wir einen physischen Fido-Stick verwenden wollen oder den mit Fingerabdruck oder PIN abgesicherten, internen Sicherheitsschlüssel von Android.

Wir wählen natürlich den Android-Schlüssel, werden nach unserer PIN gefragt, und schon taucht er in der Liste der auf Dropbox hinterlegten Sicherheitsschlüssel auf. Und es funktioniert tatsächlich. Auch beim erneuten Anmelden werden wir neben den Zugangsdaten nach unserer PIN für den internen Sicherheitsschlüssel gefragt. Der Login mit Webauthn klappt, der nervigere und längst nicht so sichere TOTP-Code als zweiter Faktor entfällt. Wir sind begeistert.

Den Traum vom passwortlosen Anmelden erfüllt uns Dropbox leider noch nicht so schnell. Webauthn kann bisher nur als zweiter Faktor, nicht aber anstatt des Passwortes verwendet werden. Es gebe noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen", bevor dies eingeführt werden könnte, erklärte Kapoor. Wir bleiben gespannt, freuen uns aber, dass wir unser Fido2-zertifiziertes Smartphone überhaupt mit einem Dienst verwenden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 159,90€ (Bestpreis!)
  2. (u. a. HP Pavilion 32 Zoll Monitor für 229,00€, Steelseries Arctis Pro wireless Headset für 279...
  3. ab 62,99€
  4. (aktuell u. a. HyperX Alloy Elite RGB Tastatur für 109,90€, Netgear EX7700 Nighthawk X6 Repeater)

LASERwalker 11. Jun 2019

Das muss sich erst zeigen. Bisher verwendet Google nur das ältere U2F. Bei U2F wird...


Folgen Sie uns
       


Microsoft Surface Pro X - Hands on

Schon beim ersten Ausprobieren wird klar: Das Surface Pro X ist ein sehr gutes Beispiel für ARM-Geräte mit Windows 10. Viele Funktionen wirken durchdacht - die Preisvorstellung gehört nicht dazu.

Microsoft Surface Pro X - Hands on Video aufrufen
Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  2. Elektroauto von VW Es hat sich bald ausgegolft
  3. ID.3 kommt Volkswagen verkauft den E-Golf zum Schnäppchenpreis

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  2. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte
  3. Streaming Disney+ startet am 31. März 2020 in Deutschland

In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

    •  /