Webauthn unter Android ausprobiert: Dropbox kann, was andere nicht können

Android kann Zwei-Faktor-Authentifizierung und passwortloses Anmelden per Fido2 von Haus aus - doch ohne Onlinedienste, die die Funktion unterstützen, bringt das wenig. Mit Dropbox ändert sich das nun. Wir haben uns angeschaut, wie gut das funktioniert.

Artikel von Moritz Tremmel veröffentlicht am 11. Juni 2019, 7:00 Uhr

Das Smartphone als Fido-Stick. (Bild: Moritz Tremmel/Golem.de)

Bisher war die Fido2-Zertifizierung von Android vor allem eines: ein Zertifikat. Es mangelte an einem Dienst, mit dem die Funktion ernsthaft verwendet werden konnte. Mit Dropbox ändert sich das nun. Nach regem Austausch mit Golem.de hat Dropbox Webauthn auch unter Android freigeschaltet. Es ist damit der erste Dienst, mit dem wir die Android-interne Zwei-Faktor-Authentifizierung nutzen können - ganz ohne Fido-Stick und irgendwelche Schwierigkeiten.

Stellenmarkt

DEKRA SE, Stuttgart
VascoMed GmbH, Binzen

Ursprünglich hatte Dropbox Webauthn auf mobilen Geräten bewusst deaktiviert: "Als wir begonnen haben, Webauthn zu integrieren, [war] der Support für den Standard auf Browsern für mobile und Tablet-Geräte noch nicht umfassend gegeben", erklärte Rajan Kapoor, Director of Security bei Dropbox. Die Sicherheitsschlüssel der Nutzer hätten schlicht nicht funktioniert. "Durch das Deaktivieren von Webauthn für diese Art von Sitzungen haben wir Verwirrung unter unseren Nutzern vermeiden können", sagt Kapoor.

Auch uns hat der völlig willkürlich erscheinende Support der verschiedenen Geräte und Onlinedienstanbieter bisher verwirrt und enttäuscht zurückgelassen. Im Unterschied zu Microsoft interessierte sich Dropbox für unsere Anfrage, warum Webauthn denn nicht unter Android funktioniere. Der Onlinespeicherdienst versprach, sich des Problems anzunehmen und ein Ticket mit Priorität einzurichten. Wenige Tage später - und leider nach Redaktionsschluss für unseren Test - erreichte Golem.de die Nachricht von Dropbox: "Da die [mobilen] Browser den Standard von Webauthn mittlerweile unterstützen, wird Dropbox daran arbeiten, diese Einschränkung aufzuheben."

Webauthn auch mobil

Das klingt nach irgendwann, war aber schon drei Tage später erledigt: "Deine Anfrage hat einiges in Bewegung gesetzt! Unsere Kollegen haben Webauthn nun für Mobile aktiviert", schreibt uns die Pressesprecherin Jenny Wiethölter. Das müssen wir natürlich ausprobieren.

Wir loggen uns mit unserem Android-Testgerät auf Dropbox ein und versuchen, einen Sicherheitsschlüssel zu hinterlegen. Wurden wir bisher mit einer Fehlermeldung abgespeist, dass unser Browser nicht unterstützt werde, poppt nun ein Auswahlfenster auf. Wir werden gefragt, ob wir einen physischen Fido-Stick verwenden wollen oder den mit Fingerabdruck oder PIN abgesicherten, internen Sicherheitsschlüssel von Android.

Wir wählen natürlich den Android-Schlüssel, werden nach unserer PIN gefragt, und schon taucht er in der Liste der auf Dropbox hinterlegten Sicherheitsschlüssel auf. Und es funktioniert tatsächlich. Auch beim erneuten Anmelden werden wir neben den Zugangsdaten nach unserer PIN für den internen Sicherheitsschlüssel gefragt. Der Login mit Webauthn klappt, der nervigere und längst nicht so sichere TOTP-Code als zweiter Faktor entfällt. Wir sind begeistert.

Den Traum vom passwortlosen Anmelden erfüllt uns Dropbox leider noch nicht so schnell. Webauthn kann bisher nur als zweiter Faktor, nicht aber anstatt des Passwortes verwendet werden. Es gebe noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen", bevor dies eingeführt werden könnte, erklärte Kapoor. Wir bleiben gespannt, freuen uns aber, dass wir unser Fido2-zertifiziertes Smartphone überhaupt mit einem Dienst verwenden können.