Webauthn unter Android ausprobiert: Dropbox kann, was andere nicht können

Bisher war die Fido2-Zertifizierung von Android vor allem eines: ein Zertifikat. Es mangelte an einem Dienst, mit dem die Funktion ernsthaft verwendet werden konnte. Mit Dropbox ändert sich das nun. Nach regem Austausch mit Golem.de hat Dropbox Webauthn auch unter Android freigeschaltet. Es ist damit der erste Dienst, mit dem wir die Android-interne Zwei-Faktor-Authentifizierung nutzen können - ganz ohne Fido-Stick und irgendwelche Schwierigkeiten.

Stellenmarkt

1. Hays AG, Berlin
2. VetterTec GmbH, Kassel

Ursprünglich hatte Dropbox Webauthn auf mobilen Geräten bewusst deaktiviert: "Als wir begonnen haben, Webauthn zu integrieren, [war] der Support für den Standard auf Browsern für mobile und Tablet-Geräte noch nicht umfassend gegeben", erklärte Rajan Kapoor, Director of Security bei Dropbox. Die Sicherheitsschlüssel der Nutzer hätten schlicht nicht funktioniert. "Durch das Deaktivieren von Webauthn für diese Art von Sitzungen haben wir Verwirrung unter unseren Nutzern vermeiden können", sagt Kapoor.

Auch uns hat der völlig willkürlich erscheinende Support der verschiedenen Geräte und Onlinedienstanbieter bisher verwirrt und enttäuscht zurückgelassen. Im Unterschied zu Microsoft interessierte sich Dropbox für unsere Anfrage, warum Webauthn denn nicht unter Android funktioniere. Der Onlinespeicherdienst versprach, sich des Problems anzunehmen und ein Ticket mit Priorität einzurichten. Wenige Tage später - und leider nach Redaktionsschluss für unseren Test - erreichte Golem.de die Nachricht von Dropbox: "Da die [mobilen] Browser den Standard von Webauthn mittlerweile unterstützen, wird Dropbox daran arbeiten, diese Einschränkung aufzuheben."

Webauthn auch mobil

Das klingt nach irgendwann, war aber schon drei Tage später erledigt: "Deine Anfrage hat einiges in Bewegung gesetzt! Unsere Kollegen haben Webauthn nun für Mobile aktiviert", schreibt uns die Pressesprecherin Jenny Wiethölter. Das müssen wir natürlich ausprobieren.

Golem Akademie

1. OpenShift Installation & Administration
   14.-16. Juni 2021, online
2. Terraform mit AWS
   14./15. September 2021, online

Weitere IT-Trainings

Wir loggen uns mit unserem Android-Testgerät auf Dropbox ein und versuchen, einen Sicherheitsschlüssel zu hinterlegen. Wurden wir bisher mit einer Fehlermeldung abgespeist, dass unser Browser nicht unterstützt werde, poppt nun ein Auswahlfenster auf. Wir werden gefragt, ob wir einen physischen Fido-Stick verwenden wollen oder den mit Fingerabdruck oder PIN abgesicherten, internen Sicherheitsschlüssel von Android.

Wir wählen natürlich den Android-Schlüssel, werden nach unserer PIN gefragt, und schon taucht er in der Liste der auf Dropbox hinterlegten Sicherheitsschlüssel auf. Und es funktioniert tatsächlich. Auch beim erneuten Anmelden werden wir neben den Zugangsdaten nach unserer PIN für den internen Sicherheitsschlüssel gefragt. Der Login mit Webauthn klappt, der nervigere und längst nicht so sichere TOTP-Code als zweiter Faktor entfällt. Wir sind begeistert.

Den Traum vom passwortlosen Anmelden erfüllt uns Dropbox leider noch nicht so schnell. Webauthn kann bisher nur als zweiter Faktor, nicht aber anstatt des Passwortes verwendet werden. Es gebe noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen", bevor dies eingeführt werden könnte, erklärte Kapoor. Wir bleiben gespannt, freuen uns aber, dass wir unser Fido2-zertifiziertes Smartphone überhaupt mit einem Dienst verwenden können.