• Microsoft Passkeys für Entra ID – Authentifizierung mit Phishing-Schutz

Microsoft Passkeys für Entra ID – Authentifizierung mit Phishing-Schutz

Nick Leweling, Dualer Student Modern Workplace bei Net at Work
Autor: Nick LewelingJunior Consultant Modern WorkplaceAuf LinkedIn vernetzen

Microsoft unterstützt künftig gerätegebundene Passkeys auf mobilen Geräten. Diese neue Authentifizierungsmethode ist kostengünstig und Phishing-resistent. Unternehmen verbessern damit sowohl die Benutzerfreundlichkeit als auch die Sicherheit innerhalb der zweistufigen Authentifizierung. Im nachfolgenden Blogartikel erklären wir, wie Microsoft Passkeys für Entra ID funktionieren, zeigen den Unterschied zur Authentifizierung mit Push-Benachrichtigungen und erläutern die Vorteile.

Was sind Entra ID Authentifizierungsmethoden?

Microsoft Entra ID (früher: Azure Active Directory) bietet derzeit verschiedene Authentifizierungsmethoden, die unterschiedliche Anmeldeszenarien in Unternehmen abdecken. Um die Anmeldung eines Benutzers durch einen zusätzlichen Faktor zu legitimieren, werden diese häufig mit der Multi-Faktor-Authentifizierung kombiniert. Beispiele hierfür sind die Bestätigung über den Microsoft Authenticator oder die Verifizierung per SMS-Code. Administratoren können jede Methode so konfigurieren, dass sie die Benutzererfahrung und die Sicherheitsziele optimal unterstützen.

Was sind Passkeys?

Passkeys basieren auf dem FIDO-Standard und ersetzen herkömmliche Passwörter. Sie nutzen ein asymmetrisches Authentifizierungsverfahren, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der Passkey erzeugt dabei einen eindeutigen, nicht berechenbaren kryptographischen Berechtigungsnachweis, der als privater Schlüssel auf Ihrem Gerät gespeichert wird. Bei einer Anmeldung erbringen Sie mit diesem privaten Schlüssel einen Berechtigungsnachweis, der mit Hilfe des öffentlichen Schlüssels verifiziert wird. Dadurch entfällt die herkömmliche Anmeldung mittels Passwort.

Aktuelle Verwendung von Passkeys bei der Anmeldung

Grundsätzlich sind Passkeys nicht neu und kommen bereits bei FIDO2 Keys und Windows Hello for Business zum Einsatz. Der Passkey wird entweder auf einem FIDO2 Key oder auf Ihrem Windows Hello for Business Gerät innerhalb des TPM-Chips gespeichert. Das ermöglicht bereits für viele Anwendungsfälle eine sichere Authentifizierung. Allerdings stellt der FIDO2 Key zusätzliche Hardware dar und verursacht dadurch Kosten. Windows Hello for Business funktioniert nur auf dem konfigurierten Gerät und ausschließlich unter Windows.

Nutzung von Microsoft Passkeys auf Computern und mobilen Endgeräten

Um die passwortlose Authentifizierung weiter voranzutreiben, unterstützt Microsoft Entra ID daher künftig auch gerätegebundene Passkeys, die innerhalb der Microsoft Authenticator-App auf den mobilen Endgeräten gespeichert werden. Das ermöglicht Ihren Nutzern eine Phishing-resistente Authentifizierung mit ihren eigenen Geräten – ganz ohne zusätzliche Hardware.

Die Einrichtung der Microsoft Passkeys erfolgt über die Benutzerverwaltung.

ZurückWeiter
12

Vorteile von Microsoft Passkeys für Entra ID

Da es verschiedene Authentifizierungsmethoden gibt und insbesondere der Microsoft Authenticator bereits passwortlose Authentifizierung über Push-Benachrichtigungen unterstützt, ist es wichtig, die Unterschiede dieser Optionen zu verstehen.

Passwordless mit Authenticator

  • Passwordless mit Authenticator

Bei der Authentifizierung über Push-Benachrichtigungen erhält der Authenticator eine Benachrichtigung über den Apple Push Notification Service (APNS) bei iOS-Geräten bzw. Firebase Cloud Messaging (FCM) bei Android-Geräten. Diese Benachrichtigung wird vom Benutzer bestätigt. Die Kommunikation erfolgt dabei zwischen dem Microsoft Authenticator und Entra.

Passkey mit Authenticator

  • Passkey mit Authenticator

Bei der Authentifizierung mit einem Passkey sucht der Client nach einem unterstützten Passkey und baut eine Verbindung, z. B. über Bluetooth mit dem mobilen Gerät des Microsoft Authenticators auf. Zusätzlich wird die Authentifizierungsanfrage an den Authenticator gesendet. Die Kommunikation erfolgt dabei zwischen dem Client und Entra sowie zwischen dem Authenticator und Entra.

Daraus ergeben sich folgende Vorteile:

  • Hohe Sicherheit

    Für den Abgleich des Microsoft Passkeys ist eine direkte Verbindung zwischen dem Client und dem mobilen Gerät, das den Authenticator bereitstellt, notwendig. Daher ist eine Authentifizierung ohne physischen Zugriff auf das Clientgerät nicht möglich. Dies stellt eine weitere Sicherheitsinstanz während der Authentifizierung dar und macht einen zusätzlichen Nummernabgleich zwischen Client und Authenticator unnötig.

  • Kosten einsparen

    Unternehmen haben die Möglichkeit, eine Phishing-resistente Authentifizierungsmethode auf FIDO-Basis einzuführen, ohne zusätzliche Hardware anschaffen zu müssen.

  • Benutzerfreundlichkeit erhöhen

    Die Konfiguration des Microsoft Passkeys ermöglicht eine sehr einfache Anmeldung am Benutzergerät mit gespeichertem Passkey.

Fazit

Die Einführung von Passkeys in Microsoft Entra ID ist ein weiterer Schritt zu einer sichereren und benutzerfreundlicheren Authentifizierung. Im Vergleich zur bestehenden passwortlosen Authentifizierung bietet die Nutzung von Passkeys weitere Vorteile hinsichtlich ausgewählter Anwendungsszenarien. Dies trägt zur Reduzierung von Phishing-Risiken und zur Erhöhung der Gesamtsicherheit bei. Indem Microsoft Passkeys in die Authenticator-App integriert, wird eine nahtlose, kostengünstige und robuste Authentifizierung ermöglicht, die ohne zusätzliche Hardware auskommt und den bestehenden Geräten der User vertraut. Unternehmen können dadurch nicht nur die Sicherheit ihrer Systeme erhöhen, sondern auch die Benutzerfreundlichkeit für ihre Mitarbeitenden verbessern.

Jetzt kostenfreien Beratungstermin zu Microsoft Passkeys anfragen

Gerne unterstützen wir Sie bei der Einrichtung. Fragen Sie jetzt einen kostenfreien Beratungstermin zum Thema Microsoft Passkeys für Entra ID an.

Weitere News zu diesem Thema