REDMOND / LONDON (IT BOLTWISE) – Microsoft verlagert die Authentifizierung für externe Identitäten in Richtung Passkeys: Noch im Mai 2026 soll Entra External ID Unterstützung für passwortlose Zugänge bieten. Der Schritt kommt in einer Phase rasanter Angriffe, in der Quishing per QR-Code und Banking-Trojaner deutlich zunehmen. Für Unternehmen bedeutet das mehr als nur Komfortgewinn: Es geht um die Reduktion einer der größten Schwachstellen im Identitäts-Ökosystem. Gleichzeitig wird klar, dass Identity-Sicherheit künftig eng mit KI-Gateway-Schutz, Endpunkt-Controls und Post-Quantum-Migration verknüpft werden muss.

 Eilik – Der KI-Roboter als Schlüsselanhänger!  ˗ˋˏ🧠ˎˊ˗

Microsoft setzt erneut einen klaren Akzent in der Identitätssicherheit: Ab Ende Mai 2026 will der Technologiekonzern Passkey-Unterstützung in seiner Plattform Entra External ID für externe Identitäten ausrollen. Damit reagiert das Unternehmen auf eine Bedrohungslage, in der gestohlene oder erratene Passwörter weiterhin den einfachsten Einstiegspunkt liefern. Besonders auffällig sind Quishing-Angriffe, also Phishing über QR-Codes, die im ersten Quartal 2026 laut den vorliegenden Zahlen um 150 Prozent auf 18 Millionen Fälle angestiegen sind. Passkeys sollen hier ansetzen, weil sie Phishing-resistente Mechanismen nutzen und den Angreifern deutlich weniger Angriffsfläche bieten.

Technisch betrachtet bedeutet Passkey-Integration vor allem, dass Authentifizierung nicht mehr primär über geteiltes Geheimnis wie ein Passwort läuft, sondern über kryptografische Schlüssel, die an Geräte und Kontext gebunden sind. Je nach Implementierung stützen Passkeys sich auf biometrische Daten, geräteinterne Sicherheitsmodule und PINs, die in einer starken, hardware-nahen Vertrauenskette umgesetzt werden. Microsofts Fokus liegt dabei nicht nur auf internen Usern, sondern explizit auf der Situation von Partnern, Kunden und anderen „externen“ Identitäten, die häufig in weniger durchgängige Sicherheitsprozesse eingebettet sind. Ergänzend hält Microsoft eine Linie bei Single Sign-On und erweitert die Absicherung von Authentifizierungs-Workflows.

Der Blick auf den Wettbewerb zeigt, dass dies kein Einzelprojekt bleibt. Google ermöglicht Workspace-Administratoren seit dem 16. Mai die Option, Passwörter zu überspringen, sodass Nutzer sich nur noch über Passkeys anmelden und das Passwort höchstens als Kompatibilitätsreserve erhalten bleibt. Parallel testet Google den Import und Export von Passkeys im Google Password Manager für Android, um Interoperabilität nach FIDO-Standards zu erleichtern. WhatsApp wiederum befindet sich in einer Betaphase für eine optionale Passwortfunktion mit einem Codeformat, das Konten bei Anmeldungen auf neuen Geräten schützen soll. Dieses Nebeneinander aus „passkey-only“ und selektiven Übergangslösungen verdeutlicht: Der Markt bewegt sich in Richtung Passwordless, aber die Pfade dorthin bleiben heterogen.

Für die Markt- und Sicherheitswirkung ist die Dynamik entscheidend: Banking-Trojaner verzeichnen laut den vorliegenden Daten im ersten Quartal 2026 einen Anstieg um 196 Prozent auf 1,24 Millionen Fälle weltweit. Gerade hier wird sichtbar, warum reine Basishygiene (z. B. Passwortwechsel) nicht mehr ausreicht. Moderne Angriffs- und Tooling-Ketten können selbst „gewöhnliche“ achtstellige Passwörter in etwa 17 Sekunden knacken, wenn schwache Passwortstrategien oder unzureichende Rate-Limits ausgenutzt werden. Sicherheitsausfälle werden zudem schnell teuer: Comcast soll nach einem Datenleck mit 31,7 Millionen betroffenen Kunden 108 Millionen Euro gezahlt haben, Fidelity sich nach einem Vorfall im August 2024 auf 2,3 Millionen Euro geeinigt haben. Experten formulieren es zugespitzt: „Passkeys senken die Angriffsfläche, weil sie Phishing-relevante Schwächen strukturell reduzieren.“

Gleichzeitig verschiebt sich die Bedrohungstiefe durch KI. Das Bundeskriminalamt meldete 2024 rund 6.600 Fälle von KI-gestützter Stimmklonung im Kontext sogenannter Schockanrufe. Parallel entstehen KI-generierte Phishing-Mails, die sich oft kaum noch von echter Unternehmenskommunikation unterscheiden lassen und damit Social-Engineering-Routinen im Unternehmen treffen. Entsprechend betonen Branchenanalysten, dass sich Identity Security in den nächsten Quartalen stärker zu einem Orchestrierungsproblem entwickelt: Nicht nur der Login ist relevant, sondern auch Kontext (Gerät, Standort, Transaktionsmuster), Content-Intelligenz und Abgleich gegen bekannte Kampagnen. Microsoft erweitert in diesem Zusammenhang zeitnah auch Schutzschichten im KI-Gateway, darunter Prompt-Injection-Schutz, während Agent ID für KI-Assistenten eingeführt wurde.

Für Unternehmen bedeutet das praktische Konsequenzen: Der Wechsel auf Passkeys ist nicht automatisch gleichbedeutend mit „Sicherheit ist gelöst“. Vielmehr braucht es einen mehrschichtigen Ansatz, der Endpunkt- und Transaktionskontrollen mit Identitätsrichtlinien verbindet. Microsoft nennt als Zielbild ausdrücklich phishing-resistente Authentifizierung für einen großen Teil seiner eigenen Mitarbeitenden (99,6 Prozent) und baut darauf die Funktionen für externe Partner und Kunden auf. Ergänzend werden Sicherheitsfragen schrittweise abgeschafft – zumindest als Wiederherstellungsmechanismus – weil sie häufig als Umgehungspfad dienen. Dazu kommt der Gedanke an Speicher- und Backend-Schutz: Beispielhaft ist der Edge-Upgrade auf Version 148 vom 16. Mai, der sicherstellen soll, dass Passwörter nicht mehr unverschlüsselt im Arbeitsspeicher landen. Solche Details sind zwar „unspektakulär“, aber sie bestimmen, wie robust ein Gesamtsystem im Ernstfall bleibt.

Regulatorisch und datenschutzseitig verschiebt sich der Fokus ebenfalls, auch wenn Passkeys häufig als „lokal statt zentral“ beschrieben werden. Aus Compliance-Sicht ist relevant, wie und wo Schlüssel materialisiert werden, welche Metadaten entstehen (z. B. Geräte- und Authentifizierungskontexte) und wie lange Identitätsdaten verarbeitet werden. Gerade im Umfeld externer Identitäten müssen Unternehmen sicherstellen, dass Logging- und Monitoring-Mechanismen keine sensiblen Informationen unnötig speichern und dass Einwilligungs- und Aufbewahrungsfristen eingehalten werden. Der Sicherheitsgewinn gegenüber klassischen Passwortrisiken ist plausibel, aber er verlangt saubere Richtlinien für Zugriff, Recovery und Incident-Response. Denn Passkeys verlagern Risikoquellen eher von „Wortschatz knacken“ hin zu „Zugriff auf Geräte, Session-Hijacking oder falsch konfigurierten Wiederherstellungswegen“.

Der Ausblick führt zudem in eine zweite Phase der Modernisierung: die post-quantische Ära. Bis 2030 könnten klassische Verschlüsselungsstandards wie SHA-256 und RSA durch Regulierungs- und Sicherheitsanforderungen faktisch unter Druck geraten, während Post-Quantum-Standards bereits finalisiert wurden. In diesem Kontext wird auch die Lebensdauer von TLS-Zertifikaten relevant: Zertifizierungsstellen sollen die Laufzeit drastisch verkürzen, etwa von knapp 400 Tagen auf nur noch 47 Tage bis 2029. Parallel läuft die Migration auf aktuellere Betriebssystemstände weiter – am 8. September 2026 endet der Support für Android 5.0 und iOS 13. Microsofts Passkey-Schritt Ende Mai ist damit ein Baustein in einer umfassenden Roadmap: erst bessere Authentifizierung, dann härtere Endpunkte und danach ein kontrolliertes Update der Kryptografie. Für Entwickler und Security-Teams bedeutet das konkret mehr Engineering-Aufwand, aber auch bessere Optionen für konsistente, phishingsichere Nutzerreisen.

💳 Amazon-Kreditkarte mit 2.000 Euro Limit bestellen!
🔥 Heutige Hot Deals bei Amazon: Bis zu 80% Rabatte!
🎉 Amazon Haul-Store für absolute Schnäppchenjäger!

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 6 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 7 ᵃ⤻ᶻ «KI Gadgets»

Bestseller Nr. 8 ᵃ⤻ᶻ «KI Gadgets»

Hat Ihnen der Artikel bzw. die News - Microsoft integriert Passkeys in Entra External ID – Antwort auf Quishing & Banking-Trojaner - gefallen? Dann abonnieren Sie uns doch auf Insta: AI News, Tech Trends & Robotics - Instagram - Boltwise


Microsoft integriert Passkeys in Entra External ID – Antwort auf Quishing & Banking-Trojaner
Microsoft integriert Passkeys in Entra External ID – Antwort auf Quishing & Banking-Trojaner (Foto: DALL-E, IT BOLTWISE)

Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Da wir bei KI-erzeugten News und Inhalten selten auftretende KI-Halluzinationen nicht ausschließen können, bitten wir Sie bei Falschangaben und Fehlinformationen uns via eMail zu kontaktieren und zu informieren. Bitte vergessen Sie nicht in der eMail die Artikel-Headline zu nennen: «Microsoft integriert Passkeys in Entra External ID – Antwort auf Quishing & Banking-Trojaner».