Webauthn unter Android ausprobiert: Dropbox kann, was andere nicht können

Android kann Zwei-Faktor-Authentifizierung und passwortloses Anmelden per Fido2 von Haus aus - doch ohne Onlinedienste, die die Funktion unterstützen, bringt das wenig. Mit Dropbox ändert sich das nun. Wir haben uns angeschaut, wie gut das funktioniert.

Artikel von veröffentlicht am
Das Smartphone als Fido-Stick.
Das Smartphone als Fido-Stick. (Bild: Moritz Tremmel/Golem.de)

Bisher war die Fido2-Zertifizierung von Android vor allem eines: ein Zertifikat. Es mangelte an einem Dienst, mit dem die Funktion ernsthaft verwendet werden konnte. Mit Dropbox ändert sich das nun. Nach regem Austausch mit Golem.de hat Dropbox Webauthn auch unter Android freigeschaltet. Es ist damit der erste Dienst, mit dem wir die Android-interne Zwei-Faktor-Authentifizierung nutzen können - ganz ohne Fido-Stick und irgendwelche Schwierigkeiten.

Stellenmarkt
  1. Junior Consultant Logistikprozesse E-Commerce (m/w/d)
    Lidl Digital, Neckarsulm
  2. IT-Monitoring Specialist/in im Rechenzentrum (m/w/d)
    Technische Universität Dresden, Dresden
Detailsuche

Ursprünglich hatte Dropbox Webauthn auf mobilen Geräten bewusst deaktiviert: "Als wir begonnen haben, Webauthn zu integrieren, [war] der Support für den Standard auf Browsern für mobile und Tablet-Geräte noch nicht umfassend gegeben", erklärte Rajan Kapoor, Director of Security bei Dropbox. Die Sicherheitsschlüssel der Nutzer hätten schlicht nicht funktioniert. "Durch das Deaktivieren von Webauthn für diese Art von Sitzungen haben wir Verwirrung unter unseren Nutzern vermeiden können", sagt Kapoor.

Auch uns hat der völlig willkürlich erscheinende Support der verschiedenen Geräte und Onlinedienstanbieter bisher verwirrt und enttäuscht zurückgelassen. Im Unterschied zu Microsoft interessierte sich Dropbox für unsere Anfrage, warum Webauthn denn nicht unter Android funktioniere. Der Onlinespeicherdienst versprach, sich des Problems anzunehmen und ein Ticket mit Priorität einzurichten. Wenige Tage später - und leider nach Redaktionsschluss für unseren Test - erreichte Golem.de die Nachricht von Dropbox: "Da die [mobilen] Browser den Standard von Webauthn mittlerweile unterstützen, wird Dropbox daran arbeiten, diese Einschränkung aufzuheben."

Webauthn auch mobil

Das klingt nach irgendwann, war aber schon drei Tage später erledigt: "Deine Anfrage hat einiges in Bewegung gesetzt! Unsere Kollegen haben Webauthn nun für Mobile aktiviert", schreibt uns die Pressesprecherin Jenny Wiethölter. Das müssen wir natürlich ausprobieren.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Wir loggen uns mit unserem Android-Testgerät auf Dropbox ein und versuchen, einen Sicherheitsschlüssel zu hinterlegen. Wurden wir bisher mit einer Fehlermeldung abgespeist, dass unser Browser nicht unterstützt werde, poppt nun ein Auswahlfenster auf. Wir werden gefragt, ob wir einen physischen Fido-Stick verwenden wollen oder den mit Fingerabdruck oder PIN abgesicherten, internen Sicherheitsschlüssel von Android.

Wir wählen natürlich den Android-Schlüssel, werden nach unserer PIN gefragt, und schon taucht er in der Liste der auf Dropbox hinterlegten Sicherheitsschlüssel auf. Und es funktioniert tatsächlich. Auch beim erneuten Anmelden werden wir neben den Zugangsdaten nach unserer PIN für den internen Sicherheitsschlüssel gefragt. Der Login mit Webauthn klappt, der nervigere und längst nicht so sichere TOTP-Code als zweiter Faktor entfällt. Wir sind begeistert.

Den Traum vom passwortlosen Anmelden erfüllt uns Dropbox leider noch nicht so schnell. Webauthn kann bisher nur als zweiter Faktor, nicht aber anstatt des Passwortes verwendet werden. Es gebe noch "eine Reihe von Problemen in Bezug auf Benutzerfreundlichkeit und Akzeptanz, die gelöst werden müssen", bevor dies eingeführt werden könnte, erklärte Kapoor. Wir bleiben gespannt, freuen uns aber, dass wir unser Fido2-zertifiziertes Smartphone überhaupt mit einem Dienst verwenden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Dice: Update-Roadmap für Battlefield 2042 vorgestellt
    Dice
    Update-Roadmap für Battlefield 2042 vorgestellt

    Ob das reicht? Das Entwicklerstudio Dice hat seine Pläne für Battlefield 2042 vorgestellt. Der Shooter hat extrem niedrige Spielerzahlen.

  3. Glasfaser in Freiburg: Telekom kommt wegen wirrer Auflagen nicht weiter
    Glasfaser in Freiburg
    Telekom kommt wegen wirrer Auflagen nicht weiter

    Um Bauwurzeln zu schonen, sollte die Telekom in Freiburg Glasfaser im Zickzack ausbauen. Das dortige Tiefbauamt lehnte den Plan des Gartenbauamtes aber ab.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /