Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Remote-Phishing-Angriffe sind auf dem Vormarsch. Diese Angriffe zielen darauf ab, Identitätsnachweise wie Kennwörter, SMS-Codes oder einmalige E-Mail-Kenncodes zu stehlen oder weiterzuverwenden, ohne physischen Zugriff auf das Gerät des Benutzers. Angreifer verwenden häufig Social Engineering, Credential Harvest oder Downgrade-Techniken, um stärkere Schutzmaßnahmen wie Passkeys oder Sicherheitsschlüssel zu umgehen. Mit KI-gesteuerten Angriffs-Toolkits werden diese Bedrohungen komplexer und skalierbarer.
Passkeys helfen, Remotephishing zu verhindern, indem phishingfähige Methoden wie Kennwörter, SMS und E-Mail-Codes ersetzt werden. Basierend auf FIDO-Standards (Fast Identity Online) verwenden Passkeys origingebundene Kryptografie für öffentliche Schlüssel, um sicherzustellen, dass Anmeldeinformationen nicht wiedergegeben oder für böswillige Akteure freigegeben werden können. Neben einer stärkeren Sicherheit bieten Passkeys (FIDO2) eine reibungslose Anmeldeerfahrung, indem Kennwörter beseitigt, Aufforderungen reduziert und schnelle, sichere Authentifizierung auf allen Geräten aktiviert werden.
Passkeys (FIDO2) können auch verwendet werden, um sich bei Microsoft Entra ID oder Microsoft Entra Hybrid verbundenen Windows 11-Geräten anzumelden und Einzelanmeldung bei Cloud- und lokalen Ressourcen zu erhalten.
Was sind Passkeys?
Passkeys sind Phishing-beständige Anmeldeinformationen, die eine starke Authentifizierung bieten und als mehrstufige Authentifizierungsmethode (MFA) dienen können, wenn sie mit biometrischen Geräten oder PIN kombiniert werden. Sie bieten auch Widerstandsfähigkeit gegen Identitätsvortäuschung, die sicherstellt, dass ein Authentifikator nur Geheimnisse an die vertrauende Partei (RP) freigibt, bei der der Passkey registriert wurde, und nicht an einen Angreifer, der vorgibt, diese RP zu sein. Passkeys (FIDO2) befolgen FIDO2-Standards, wobei WebAuthn für Browser und CTAP für die Authentifikatorkommunikation verwendet wird.
Der folgende Prozess wird verwendet, wenn sich ein Benutzer mit einem Passkey (FIDO2) bei microsoft Entra-ID anmeldet:
- Der Benutzer initiiert die Anmeldung bei der Microsoft Entra-ID.
- Der Benutzer wählt einen Kennungsschlüssel aus:
- Dasselbe Gerät (auf dem Gerät gespeichert)
- Geräteübergreifend (über QR-Code) oder FIDO2-Sicherheitsschlüssel
- Microsoft Entra ID sendet eine Herausforderung (nonce) an den Authentifikator.
- Der Authentifikator ermittelt das Schlüsselpaar mithilfe der gehashten RP-ID und der Anmeldekennungs-ID.
- Der Benutzer führt eine biometrische oder PIN-Geste aus, um den privaten Schlüssel zu entsperren.
- Der Authentifikator signiert die Abfrage mit dem privaten Schlüssel und gibt die Signatur zurück.
- Die Microsoft Entra-ID überprüft die Signatur mithilfe des öffentlichen Schlüssels und gibt ein Token aus.
Arten von Passwörtern
-
Gerätegebundene Passkeys: Der private Schlüssel wird erstellt und auf einem einzelnen physischen Gerät gespeichert und verlässt ihn nie. Beispiele:
- Microsoft Authenticator
- FIDO2-Sicherheitsschlüssel
-
Synchronisierte Passkeys: Der private Schlüssel wird in der Cloud eines Kennungsanbieters gespeichert und auf allen Geräten synchronisiert, die mit demselben Kennungsanbieterkonto angemeldet sind. Synchronisierte Schlüssel unterstützen keinen Nachweis. Beispiele:
- Apple iCloud-Schlüsselbund
- Google Password Manager
Synchronisierte Passkeys bieten eine nahtlose und bequeme Benutzererfahrung, bei der Benutzer den systemeigenen Entsperrungsmechanismus eines Geräts verwenden können, z. B. Gesicht, Fingerabdruck oder PIN zur Authentifizierung. Basierend auf den Erkenntnissen von Hunderten von Millionen von Endbenutzern von Microsoft-Konten, die sich registriert haben und synchronisierte Passkeys verwenden, haben wir folgendes gelernt:
- 99% von Benutzern erfolgreich synchronisierte Passkeys registrieren
- Synchronisierte Passkeys sind im Vergleich zu Einem Kennwort und einer herkömmlichen MFA-Kombination um 14 x schneller: 3 Sekunden anstelle von 69 Sekunden
- Benutzer sind 3x erfolgreichere Anmeldung mit synchronisierten Passkeys als ältere Authentifizierungsmethoden (95% vs 30%)
- Synchronisierte Passkeys in Microsoft Entra ID bringen MFA-Einfachheit im Großen und Ganzen für alle Unternehmensbenutzer. Sie sind eine bequeme und kostengünstige Alternative zu herkömmlichen MFA-Optionen wie SMS- und Authenticator-Apps.
Weitere Informationen zum Einrichten von Passkeys in Ihrer Organisation finden Sie unter Aktivieren von synchronisierten Passkeys.
Der Nachweis überprüft während der Registrierung die Authentizität des Kennungsanbieters oder Geräts. Bei Erzwungener Durchsetzung:
- Sie stellt kryptografisch überprüfte Geräteidentität über DEN FIDO-Metadatendienst (MDS) bereit. Wenn der Nachweis erzwungen wird, können vertrauende Parteien das Authentifikatormodell überprüfen und Richtlinienentscheidungen für zertifizierte Geräte anwenden.
- Nicht getestete Passkeys, einschließlich synchronisierter Passkeys und nicht getesteter gerätegebundener Passkeys, stellen keine Geräte-Provenienz bereit.
In Microsoft Entra ID:
- Der Nachweis kann auf der Passkey-Profilebene erzwungen werden.
- Wenn der Nachweis aktiviert ist, sind nur gerätegebundene Passkeys zulässig; synchronisierte Passkeys werden ausgeschlossen.
Wählen Sie die richtige Passkey-Option
FIDO2-Sicherheitsschlüssel werden für stark regulierte Branchen oder Benutzer mit erhöhten Berechtigungen empfohlen. Sie bieten eine starke Sicherheit, können aber die Kosten für Geräte-, Schulungs- und Helpdesk-Support erhöhen – insbesondere, wenn Benutzer ihre physischen Schlüssel verlieren und die Kontowiederherstellung benötigen. Passkeys in der Microsoft Authenticator-App sind eine weitere Option für diese Benutzergruppen.
Für die meisten Benutzer – personen außerhalb streng regulierter Umgebungen oder ohne Zugriff auf sensible Systeme – bieten synchronisierte Passkeys eine bequeme, kostengünstige Alternative zu herkömmlichem MFA. Apple und Google haben erweiterte Schutzmaßnahmen für Passkeys implementiert, die in ihren Clouds gespeichert sind.
Unabhängig vom Typ – ob gerätegebunden oder synchronisiert – stellen Passkeys ein erhebliches Sicherheitsupgrade im Vergleich zu MFA-Methoden dar, die anfällig für Phishing sind.
Weitere Informationen finden Sie unter "Erste Schritte mit der Phishing-widerstandsfähigen MFA-Bereitstellung in Microsoft Entra ID".