Abo
  • IT-Karriere:

Webauthn unter Android ausprobiert: Dropbox kann, was andere nicht können

Android kann Zwei-Faktor-Authentifizierung und passwortloses Anmelden per Fido2 von Haus aus - doch ohne Onlinedienste, die die Funktion unterstützen, bringt das wenig. Mit Dropbox ändert sich das nun. Wir haben uns angeschaut, wie gut das funktioniert.

Artikel von veröffentlicht am
Das Smartphone als Fido-Stick.
Das Smartphone als Fido-Stick. (Bild: Moritz Tremmel/Golem.de)

Bisher war die Fido2-Zertifizierung von Android vor allem eines: ein Zertifikat. Es mangelte an einem Dienst, mit dem die Funktion ernsthaft verwendet werden konnte. Mit Dropbox ändert sich das nun. Nach regem Austausch mit Golem.de hat Dropbox Webauthn auch unter Android freigeschaltet. Es ist damit der erste Dienst, mit dem wir die Android-interne Zwei-Faktor-Authentifizierung nutzen können - ganz ohne Fido-Stick und irgendwelche Schwierigkeiten.

Stellenmarkt
  1. BG BAU - Berufsgenossenschaft der Bauwirtschaft, Berlin
  2. Statistisches Bundesamt, Wiesbaden

Ursprünglich hatte Dropbox Webauthn auf mobilen Geräten bewusst deaktiviert: "Als wir begonnen haben, Webauthn zu integrieren, [war] der Support für den Standard auf Browsern für mobile und Tablet-Geräte noch nicht umfassend gegeben", erklärte Rajan Kapoor, Director of Security bei Dropbox. Die Sicherheitsschlüssel der Nutzer hätten schlicht nicht funktioniert. "Durch das Deaktivieren von Webauthn für diese Art von Sitzungen haben wir Verwirrung unter unseren Nutzern vermeiden können", sagt Kapoor.

Auch uns hat der völlig willkürlich erscheinende Support der verschiedenen Geräte und Onlinedienstanbieter bisher verwirrt und enttäuscht zurückgelassen. Im Unterschied zu Microsoft interessierte sich Dropbox für unsere Anfrage, warum Webauthn denn nicht unter Android funktioniere. Der Onlinespeicherdienst versprach, sich des Problems anzunehmen und ein Ticket mit Priorität einzurichten. Wenige Tage später - und leider nach Redaktionsschluss für unseren Test - erreichte Golem.de die Nachricht von Dropbox: "Da die [mobilen] Browser den Standard von Webauthn mittlerweile unterstützen, wird Dropbox daran arbeiten, diese Einschränkung aufzuheben."

Webauthn auch mobil

Das klingt nach irgendwann, war aber schon drei Tage später erledigt: "Deine Anfrage hat einiges in Bewegung gesetzt! Unsere Kollegen haben Webauthn nun für Mobile aktiviert", schreibt uns die Pressesprecherin Jenny Wiethölter. Das müssen wir natürlich ausprobieren.

Wir loggen uns mit unserem Android-Testgerät auf Dropbox ein und versuchen, einen Sicherheitsschlüssel zu hinterlegen. Wurden wir bisher mit einer Fehlermeldung abgespeist, dass unser Browser nicht unterstützt werde, poppt nun ein Auswahlfenster auf. Wir werden gefragt, ob wir einen physischen Fido-Stick verwenden wollen oder den mit Fingerabdruck oder PIN abgesicherten, internen Sicherheitsschlüssel von Android.

Wir wählen natürlich den Android-Schlüssel, werden nach unserer PIN gefragt, und schon taucht er in der Liste der auf Dropbox hinterlegten Sicherheitsschlüssel auf. Und es funktioniert tatsächlich. Auch beim erneuten Anmelden werden wir neben den Zugangsdaten nach unserer PIN für den internen Sicherheitsschlüssel gefragt. Der Login mit Webauthn klappt, der nervigere und längst nicht so sichere TOTP-Code als zweiter Faktor entfällt. Wir sind begeistert.

Den Traum vom passwortlosen Anmelden erfüllt uns Dropbox leider noch nicht so schnell. Webauthn kann bisher nur als zweiter Faktor, nicht aber anstatt des Passwortes verwendet werden. Es gebe noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen", bevor dies eingeführt werden könnte, erklärte Kapoor. Wir bleiben gespannt, freuen uns aber, dass wir unser Fido2-zertifiziertes Smartphone überhaupt mit einem Dienst verwenden können.



Anzeige
Spiele-Angebote
  1. (-70%) 5,99€
  2. 39,99€ (Release am 3. Dezember)
  3. 0,49€
  4. 69,99€ (Release am 25. Oktober)

LASERwalker 11. Jun 2019

Das muss sich erst zeigen. Bisher verwendet Google nur das ältere U2F. Bei U2F wird...


Folgen Sie uns
       


Oneplus 7T - Fazit

Das Oneplus 7T ist der Nachfolger des Oneplus 7 - und hat einige interessante Hardware-Upgrades bekommen. Im Test von Golem.de schneidet das Smartphone entsprechend gut ab.

Oneplus 7T - Fazit Video aufrufen
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

    •  /