FIDO2 U2F auf einem Google-freien Android?

Seit einiger Zeit nutze ich für einige Accounts (leider viel zu wenige) einen YubiKey. Leider funktioniert der YubiKey nicht mittels NFC unter Android.

Diese Funktion hatte ich nie zum Laufen gebracht. Bisher hielt ich immer Firefox für das Problem und hatte nicht genug Zeit und Muße in die Tiefe zu gehen. Mit dem Umstieg auf Bromite hatte ich es nun noch mal versucht.

Der YubiKey wird zwar vom Android-Smartphone erkannt, aber es folgt nur ein Verweis auf die Demoseite von Yubico.

Meine Recherche war bisher nicht wirklich erfolgreich, vor allem weil die Trennschärfe zwischen den verschiedenen Authentifizierungsmöglichkeiten, die ein YubiKey so bietet, nicht immer gegeben ist. Man stößt daher zwar auf viele Informationen, aber diese sind nicht immer passend und dann ist das Android-Ökosystem auch noch sehr heterogen und man weiß nicht, was für ein Android nun funktioniert und was nicht.

Wohl bin ich aber auf den Hinweis gestoßen, dass Google die FIDO2-U2F-Funktion (wie so oft) nicht direkt in Android implementiert hat, sondern in den Play Services. Diese sind natürlich auf meinem Gerät nicht vorhanden.

Daher würde mich interessieren, ob hier vielleicht jemand mehr Informationen dazu hat. Grob interessieren mich folgende Fragen:

  1. Nutzt jemand erfolgreich einen YubiKey mit NFC unter Android?
  2. Handelt es sich dabei um ein Custom ROM ohne Play Services oder um ein Stock Android?
  3. Nutzt jemand ein Custom ROM mit microG und weiß, ob die Funktion dort verfügbar ist?

FIDO2 ohne Android-Implementierung macht das Konzept nämlich leider sinnlos, weil ich die zusätzliche Sicherheit durch eine Fallback-Methode selbst aushebeln muss. Faktisch sichere ich nämlich alle Accounts zusätzlich über einen OTP Key ab, den ich per Authentifizierungs-App generiere. Dadurch sind die Accounts nur so sicher wie das OTP-Verfahren und der physische zweite Faktor kann immer umgangen werden.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.
    • Danke für den Link.

      Wieder mal ein typisches Beispiel dafür, dass Android letztlich eine Sackgasse ist und es einen völlig neuen Ansatz für wirklich freie mobile Betriebssysteme braucht.

  1. Hallo

    ich habe yubikey nano 5
    von nutzen ist bisher noch keine Spur, unter Linux habe ich den Oath am laufen und kann mich per challenge response in keepass einloggen. Dieselbe Datenbank (extern gespeichert) kann ich aber nicht unter Windows öffnen, außer ich entferne die Yubikey sicherung, in der Tat kann ich mich von windows aus nicht mehr egalwo einloggen ( nicht mal auf Microsoftkonto, das geht nur über Linux). Das einzige das ich unter Windows mit Yubikey machen kann, ist Windows-login und ich kann eigene Keepass datenbanken erstellen (die kann ich dann aber nicht in Linux öffnen. Auf dem Smartphone habe ich Oath installiert und kann mich tatsächlich via USB-A female zu micro-USB-Adapter bei Online-Diensten einloggen, die Keepass-Datenbank kann ich hier aber auch nicht mit Yubikey nutzen (da bekriegen sich anscheinend die YK und Tastatur). Also insgesamt finde ich es nicht zweckmäßig wie meine Yubikeys zur Zeit eingerichtet sind, leider ist mein Englisch nicht das beste. Es hat lange gedauert bis ich überhaupt zu menschlichen Yubikey support durchgekommen bin, und der ist sicher auch sehr gut, für den Fall das man gescheid Englisch kann… war bei mir halt nicht, mia culpa. Trotzdem: ich verstehe nicht wieso ich mich mit den selben Schlüsseln nicht von Linux und Windows aus irgendwo einloggen kann. Oath in Win zeigt mir meine Accounts an, aber die dienste (alle) sagen “no match”. heißt ja wohl wenn ich mein Linux schrotte oder meinen Laptop an Altersschwäche krepiert. komm ich evtl nicht mehr an meine extern gespeicherten Daten ran. Wenn ich dafür nicht ne Lösung finde deaktiviere ich sämtliche 2Faktor autifizierungen und nutz die Yubikeys nur noch als Ohrschmuck (hoffentlich ohne Allergie).

  2. Hi, Nitrokey hier. Das Problem ist uns bekannt aber es gibt leider derzeit keine Lösung die man irgendwie konfigurieren kann. Es gibt ein SDK (https://www.nitrokey.com/products/android-fido2-sdk) welches genau das leistet, als Alternative zu Google Play Services. Es ist eine freie und offene Implementierung aber muss halt von den Apps integriert werden. Derzeit gibt es nur einen Proof-of-Concept Browser, der das leistet: https://play.google.com/store/apps/details?id=de.cotech.hw.fido.browser Wir prüfen derzeit, ob das SDK mit GraphenOS’s Vanadium Browser integriert werden könnte.

    • Hallo Nitrokey, eine Integration in Vanadium und andere Browser wäre natürlich super. Vielleicht könnt ihr ja Kontakt mit den jeweiligen Devs aufnehmen. Grüße Jan

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel