SecBoard
Zurück zur Übersicht

Microsoft Entra ID gets passkeys default authentication starting September

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Ab September 2026 werden Passkeys die Standard-Authentifizierungsmethode für Microsoft Entra ID. Dies betrifft alle Unternehmenskunden, die Entra ID nutzen. Administratoren sollten sich frühzeitig mit der Umstellung vertraut machen und ihre Systeme entsprechend vorbereiten.

Kurzfassung

Ab September 2026 werden Passkeys die Standard-Authentifizierungsmethode für Microsoft Entra ID. Dies betrifft alle Unternehmenskunden, die Entra ID nutzen. Organisationen sollten frühzeitig mit der Planung der Umstellung auf Passkeys beginnen, um die Sicherheit zu erhöhen und die Benutzerauthentifizierung zu optimieren.

Relevanz für Manager / CISOs
Priorität:Mittel
Betroffene

Alle Unternehmenskunden, die Microsoft Entra ID nutzen.

Warum relevant

Die Umstellung auf Passkeys als Standardauthentifizierungsmethode in Microsoft Entra ID verbessert die Sicherheit durch eine robustere und phishing-resistentere Methode. Dies erfordert eine proaktive Anpassung der Authentifizierungsstrategien und -systeme in Unternehmen.

Realistisches Worst Case

Organisationen, die sich nicht rechtzeitig auf die Umstellung vorbereiten, könnten ab September 2026 Schwierigkeiten bei der Benutzerauthentifizierung oder eine verzögerte Implementierung der verbesserten Sicherheitsfunktionen erleben.

Handlungsempfehlung

Administratoren sollten sich frühzeitig mit Passkeys vertraut machen, die Umstellung planen und ihre Systeme entsprechend vorbereiten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die aktuelle Authentifizierungsmethode in Microsoft Entra ID und identifizieren Sie Benutzer, die noch keine Passkeys verwenden.
  • Testen Sie die Kompatibilität Ihrer Anwendungen und Dienste mit Passkeys in einer Testumgebung.
  • Erstellen Sie einen Rollout-Plan für die Einführung von Passkeys und schulen Sie Endbenutzer über die neue Authentifizierungsmethode.
Offene Punkte
  • Es werden keine spezifischen Bedrohungen, Exploits oder CVEs erwähnt, die durch diese Änderung direkt adressiert werden.
  • Es werden keine spezifischen Tools oder Techniken genannt, die für die Umstellung erforderlich sind, außer der allgemeinen Vorbereitung auf Passkeys.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Active Directory / Entra extern erreichbar?
Themen
MicrosoftSecurity