PhishingDatenschutzSchwachstellen

Microsoft bringt phishing-resistente Windows-Anmeldungen mit Entra-Passkeys

Microsoft bringt phishing-resistente Windows-Anmeldungen mit Entra-Passkeys
Zusammenfassung

Microsoft führt phishing-resistente Anmeldungen für Windows-Geräte ein, indem es Passkey-Unterstützung für Microsoft Entra mit Windows Hello integriert. Das optionale Feature ermöglicht passwortlose, kryptographisch gebundene Authentifizierung, die nicht über das Netzwerk übertragen wird und daher vor Phishing-Angriffen schützt. Die Funktion wird ab März 2026 in der öffentlichen Vorschau verfügbar und erweitert die passwortlose Authentifizierung erstmals auf nicht verwaltete Windows-Geräte, wodurch Organisationen ihre Sicherheit erheblich verbessern können.

Microsoft bringt Passkey-Unterstützung für Microsoft Entra auf Windows-Geräten in die Praxis um. Das Feature ermöglicht phishing-resistente, passwortlose Authentifizierung direkt über Windows Hello und wird ab Mitte März bis Ende April 2026 in öffentlicher Vorschau verfügbar sein. Government-Cloud-Umgebungen folgen mit einer Rollout-Phase von Mitte April bis Mitte Mai.

Besonders bedeutsam ist die Ausweitung auf nicht verwaltete Windows-Geräte – ein Bereich, der bisher auf passwortbasierte Authentifizierung angewiesen war. Privatgeräte und freigegebene Systeme erhalten nun erstmals Zugang zu passwortloser Anmeldung.

Die neuen Passkeys sind kryptographisch an das Gerät gebunden und werden niemals über das Netzwerk übertragen. Dies macht es Angreifern unmöglich, diese durch Phishing- oder Malware-Attacken zu stehlen und Multi-Faktor-Authentifizierung zu umgehen.

Microsoft erklärt im Microsoft 365 Message Center: “Wir führen Microsoft Entra Passkeys unter Windows ein, um phishing-resistente Anmeldungen an Entra-geschützten Ressourcen zu ermöglichen. Nutzer können gerätegebundene Passkeys im Windows-Hello-Container erstellen und sich mit Windows-Hello-Methoden wie Gesichtserkennung, Fingerabdruck oder PIN authentifizieren.”

Jedes Entra-Konto registriert einen eigenen Passkey pro Gerät. Mehrere Konten können auf einem Gerät koexistieren, allerdings sind Passkeys nicht synchronisierbar und erfordern separate Registrierungen auf jedem Gerät.

Zum Aktivieren müssen IT-Administratoren die Passkey-Authentifizierungsmethode (FIDO2) in den Entra-Richtlinien aktivieren, ein Passkey-Profil mit erforderlichen Windows-Hello-AAGUIDs erstellen und dieses den entsprechenden Gruppen zuweisen.

Bereits im Mai 2025 kündigte Microsoft an, dass alle neuen Microsoft-Konten standardmäßig passwortlos sein werden – ein wichtiger Schritt gegen Phishing, Brute-Force- und Credential-Stuffing-Attacken. Ein Jahr zuvor hatte Microsoft Passkey-Authentifizierung für private Microsoft-Konten eingeführt, nachdem ein eingebauter Passkey-Manager für Windows Hello mit dem Windows-11-Update 22H2 hinzugefügt wurde.

Diese Initiative zeigt Microsofts klare Strategie, Passwörter langfristig aus der Authentifizierung zu verdrängen und durch sicherere, phishing-resistente Alternativen zu ersetzen.

Ähnliche Artikel