MWC 2019: Google erhält FIDO2-Zertifizierung für Android

Google und die Fast Identity Online Alliance haben auf dem Mobile World Congress in Barcelona bekanntgegeben, dass Android die FIDO2-Zeritifizierung erhalten hat. Geräte mit Googles Mobilbetriebssystem, die über einen Fingerabdruckscanner oder einen eingebauten FIDO-Sicherheitsschlüssel verfügen, sind nun in der Lage, ein für eine Online-Anmeldung benötigtes Passwort zu ersetzen.

Die Funktion soll auf allen Geräten mit Android 7.0 Nougat und neuer künftig ab Werk beziehungsweise nach einem Update der Google Play Services zur Verfügung stehen. Die passwortlose Anmeldung ist indes bei nativen Anwendungen und Website möglich, die das FIDO2-Protokoll unterstützen.

„Web- und App-Entwickler können nun über einen einfachen API-Aufruf eine starke FIDO-Authentifizierung zu ihren Android-Anwendungen und -Websites hinzufügen, um einer schnell wachsenden Zahl von Endbenutzern, die bereits über führende Android-Geräte verfügen und/oder in Zukunft auf neue Geräte aktualisieren werden, passwortfreie und phishingresistente Sicherheit zu bieten“, teilte die FIDO Alliance mit.

Bisher waren Fingerabdrücke oder Sicherheitsschlüssel als Alternative zur Passworteingabe nur wenigen Android-Apps vorbehalten, vor allem Finanzanwendungen. Die FIDO2-Zertifizierung stellt diese Sicherheitsfunktion jedoch allen Anwendern zur Verfügung.

Eine Anmeldung ohne Passwort soll Nutzer vor allem vor den Schwächen von Passwörtern schützen. Einen ausreichend Schutz bieten eigentlich nur sehr komplexe Kennwörter, die nur schwer zu merken sind und Nutzer zudem dazu verleiten, dasselbe Kennwort für mehrere Dienste oder Apps zu verwenden. Einfache Passwörter lassen sich indes heute schon regulären PCS in wenigen Stunden erraten. Biometrische Merkmale und Sicherheitsschlüssel sind indes wesentlich schwieriger zu stehlen und online zu missbrauchen.

„FIDO2 wurde von Anfang an für die Implementierung in Plattformen entwickelt, mit dem Ziel, ein Allgegenwärtigkeit in allen Webbrowsern, Geräten und Diensten, die wir täglich nutzen, zu gewährleisten“, sagte Brett McDowell, Executive Director der FIDO Alliance. „Zusammen mit den führenden Webbrowsern, die bereits FIDO2-konform sind, ist es jetzt an der Zeit, dass Website-Entwickler ihre Benutzer von den Risiken und Schwierigkeiten von Passwörtern befreien und die FIDO-Authentifizierung bereits heute integrieren.“

FIDO2 soll nicht nur die Anmeldung bei Apps und Websites erleichtern, sondern auch vor Phishing und Man-in-the-Middle-Angriffen schützen. Auch Angriffe mit gestohlenen Anmeldedaten, wie sie zuletzt im Bereich von mehreren Hundert Millionen veröffentlicht wurden, sollen sich so verhindern lassen.

Android 7.x Nougat, 8.x Oreo und 9 Pie sollten inzwischen auf mehr als 50 Prozent aller Android-Geräte laufen. Damit würde mehr als eine Milliarde Smartphones und Tablets eine passwortlose-Anmeldung per FIDO2 unterstützen – genug Anreiz für Entwickler, den Standard in ihre Produkte zu integrieren.