Android 7 und höhere Versionen sind nun für den FIDO2 Authentifizierungsstandard zertifiziert. Benutzer des mobilen Google Betriebssystems sind bald in der Lage, bei App- und Webseiten-Log-Ins auf Passwörter verzichten zu können. Das teilten die Fast IDentity Online (FIDO) Alliance und Google am Montag auf dem Mobile World Congress (MWC) in Barcelona mit.
Anstelle von Kennwörtern rücken biometrische Informationen oder FIDO-kompatible Sicherheitsschlüssel, mit denen sich die Android-User einloggen.
In der Bekanntmachung heißt es: „Web- und App-Entwicklern ist nun die Möglichkeit geboten, über eine API-Schnittstelle eine starke FIDO-Authentifizierung zu Android-Anwendungen und -Websites hinzufügen."Vor dem Hintergrund einer schnell wachsenden Anzahl von Endbenutzern mit neusten Android-Geräten soll eine Passwort-befreite und Phishing-resistente Sicherheit implementiert werden."
Jedes Android 7 Gerät oder höher ist nun von vornherein für FIDO2 zertifiziert oder nach einem Google Play Service Update. Die Unterstützung des FIDO2-Authentifizierungsschemas ist in wichtigen Webbrowsern bereits integriert.
Allerdings gibt es zusätzliche Anforderungen an App- und Webseiten-Entwickler, welche auch den FIDO2-Service implementieren müssen. Darüber hinaus sind nur Besitzer von Geräten mit Android 7 oder höher in der Lage, biometrische Informationen oder hardwarebasierte Dongles für passwortlose Logins zu verwenden (bspw. durch Fingerabdrucksensor oder U2F Security-Token).
Tatsächlich sind viele Android-User geübt in biometrischen Authentifizierungsverfahren, da sie bereits in einigen Apps zur Anwendung kommen. Banking-Apps setzen beispielsweise vermehrt auf den Login via Fingerabdruck.
Ausreichend Platz für Wachstum gibt es allerdings nach wie vor, da immerhin die Hälfte der etwa zwei Milliarden Android-User das Betriebssystem Android 7 oder höher verwenden.
Biometrische Daten sind nicht so leicht zu knacken oder zu stehlen wie viele Passwörter. Der Verzicht durch Kennwörter durch FIDO2 soll den Schutz vor Phishing-Angriffen und anderen Cyber-Angriffen erheblich verbessern. Darüber hinaus findet die Authentifizierung auf dem Endgerät der Android-User selbst statt. Keine Authentifizierungsdaten werden an Apps oder Webseiten übertragen.
Diesen Vorteil sieht auch Christiaan Brand, ein Identity and Security Product Manager von Google. Gegenüber The Verge meint er: "Der herausragende, aber oft übersehen, Teil der Technologie ist nicht die Tatsache das die User ihre biometrischen Daten zum Log-In verwenden können."
Stattdessen wird die Authentifizierung von einem "Shared Secret"-Modell – in dem Dienst (App) und der User das gleiche Passwort kennen müssen (shared secret – gemeinsames Geheimnis) – zu einem asymmetrischen Modell hin verschoben. Hierbei muss man gegenüber dem Dienst nur beweisen können, dass man das "Geheimnis" zur Authentifizierung kennt. Der Remote-Service erhält aber keine Informationen über das eigentliche Geheimnis.