Passkeys: Die Zukunft der Authentifizierung

Ein Passkey ist eine Authentifizierungsmethode, die auf der FIDO2-Standardspezifikation basiert. Im Gegensatz zu herkömmlichen Passwörtern speichert ein Passkey kryptografische Schlüsselpaare sicher auf einem Gerät, etwa einem Smartphone oder einem Hardware-Token. Dabei bleibt der private Schlüssel auf dem Gerät, während der öffentliche Schlüssel auf dem Server registriert wird. Dies ermöglicht eine passwortlose Anmeldung, die sowohl sicherer als auch benutzerfreundlicher ist.

Viele Dienste im Internet bieten mittlerweile die Anmeldung mit einem Passkey anstatt der Anmeldung mit Benutzernamen und Kennwort an. Dazu gehören auch Entra ID und damit Microsoft 365. In Windows 11 hat Microsoft die Passkey-Authentifizierung ebenfalls integriert und mit der Aktualisierung zu Windows 11 24H2 deutlich verbessert.

Passkeys versus Passwörter

Während Passwörter lange Zeit der Standard waren, führten die steigenden Sicherheitsrisiken zu einem Wandel hin zu Multi-Faktor-Authentifizierung (MFA) und biometrischen Lösungen. Passkeys sind der nächste Schritt in dieser Entwicklung und vereinen die Vorteile von Biometrie und kryptografischen Verfahren.

Passwörter sind anfällig für Phishing, Brute-Force-Angriffe und Datenlecks. Passkeys eliminieren diese Schwachstellen, da sie nicht übertragen oder gespeichert werden müssen. Für Anwender erhöht sich die Benutzerfreundlichkeit, da Passkeys meist durch einfache Biometrie wie Fingerabdruck oder Gesichtserkennung genutzt werden können, ohne dass komplexe Passwörter erforderlich sind.

Wenn Sie wissen möchten, wie man Passwortrichtlinien in einer AD-Domäne prüfen kann, lesen Sie unseren Artikel: Passwort-Regeln in Active Directory prüfen.

Funktionsweise und Integration von Passkeys in Microsoft-Umgebungen

Passkeys lassen sich in Microsoft-Umgebungen wie Windows oder Entra ID (ehemals Azure AD) nahtlos in bestehende Authentifizierungsprozesse integrieren. Benutzer registrieren ihr Gerät, auf dem der private Schlüssel sicher gespeichert wird. Bei der Anmeldung stellt das System eine kryptografische Herausforderung, die das Gerät mit dem privaten Schlüssel signiert. So erfolgt die Authentifizierung sicher und schnell.

Das funktioniert auch bei der Verwendung von mehreren Geräten und im Büro genauso wie mobil oder im Homeoffice. Für Anwender bedeutet dies eine einfache und intuitive Anmeldung, die die Abhängigkeit von Passwörtern beendet. IT-Abteilungen profitieren durch erhöhte Sicherheit und reduzierte Supportanfragen, da Passwörter nicht mehr zurückgesetzt oder verwaltet werden müssen. Zudem wird das Risiko von Datendiebstahl erheblich minimiert.

Passkeys sind eine Schlüsseltechnologie für Zero-Trust-Strategien. Da keine sensiblen Daten übertragen werden, sind sie immun gegen Phishing-Angriffe. In Kombination mit Multi-Faktor-Authentifizierung (MFA) schaffen Passkeys eine robuste Sicherheitsarchitektur, die sowohl Benutzerkonten als auch Unternehmensressourcen schützt.

Implementierung von Passkeys in Entra ID

Entra ID und damit Microsoft 365 eignen sich besonders für die Verwendung von Passkeys, da in den meisten Fällen Benutzer mobil mit dem System arbeiten und von mehreren Orten mit unterschiedlichen Geräten auf die Dienste zugreifen . Die Einführung von Passkeys in Entra ID erfolgt in mehreren Schritten:

1. Voraussetzungen prüfen: Stellen Sie sicher, dass Ihre Umgebung FIDO2-kompatibel ist.
2. Entra ID konfigurieren: Aktivieren Sie passwortlose Anmeldungen in den Authentifizierungseinstellungen.
3. Geräte registrieren: Ermöglichen Sie Benutzern, kompatible Geräte wie Smartphones oder Sicherheits-Keys zu registrieren.
4. Benutzer schulen: Sensibilisieren Sie Ihre Anwender für die Nutzung von Passkeys.

Eine erfolgreiche Implementierung setzt aktuelle Softwareversionen und eine klare Richtlinie für die Nutzung voraus. IT-Administratoren sollten zudem regelmäßige Audits durchführen, um sicherzustellen, dass Passkeys ordnungsgemäß verwendet werden.

Einrichtung und Nutzung von Passkeys mit Windows Hello

Einrichtung von Passkeys mit Windows Hello

Passkeys für Microsoft-Konten sind verfügbar und ermöglichen eine kennwortlose Anmeldung bei Microsoft 365-Anwendungen. Mit dieser Methode können Anwender auch hier auf traditionelle Passwörter verzichten und stattdessen auf die Sicherheit von Windows Hello oder einem physischen Sicherheitsschlüssel setzen. Windows Hello unterstützt unter anderem Gesichtserkennung, Fingerabdruckscanner oder PIN-Codes, die direkt mit dem Microsoft-Konto verknüpft werden können. Die Einrichtung unterscheidet sich etwas von der Verwendung von Konten aus Entra ID, sondern betrifft vor allem Anwender, die sich mit Windows Hello an Ihrem Windows-PC anmelden wollen und Passkeys im Betriebssystem einbinden wollen. Auf die Einrichtung mit Entra ID gehen wir in einem späteren Absatz ausführlicher ein.

Konfiguration von Passkeys

Die Konfiguration der Passkeys beginnt in den Kontoeinstellungen des Microsoft-Kontos. Diese finden Sie entweder über das Benutzer-Icon oben rechts in Microsoft 365 oder direkt unter „account.microsoft.com“. Achten Sie darauf, dass Sie sich nicht bei einem Entra ID-Konto befinden. In diesem Abschnitt gehen wir auf die Implementierung von Passkeys in Windows 11 ein, ohne die Anbindung an Entra ID.

Nach der Anmeldung wechseln Sie zum Bereich „Sicherheit“ und wählen dort „Zusätzliche Sicherheitsoptionen“. Klicken Sie auf „Verwalten, wie ich mich anmelde“. Im Fenster sehen Sie die aktuellen Anmeldemöglichkeiten. Sie können mit „Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen“ weitere Dienste zur Anmeldung einbinden, zum Beispiel auch Passkeys.

Auswahl von Anmeldemethoden und Speicherung

Der daraufhin angezeigte Dialog bietet eine Auswahl aus mehreren Verfahren. Hier entscheiden Sie sich sich für „Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel„. Im Anschluss startet der Assistent, der durch die Konfiguration führt. Die Auswahl der Optionen im folgenden Fenster unterscheiden sich je nach PC, abhängig von dessen Ausstattung. Unterstützt ein Gerät die Anmeldung mit Fingerabdruck oder Gesichtserkennung, dann erscheinen diese biometrischen Verfahren.

Verfügbarkeit und Speicherung von Passkeys

Durch die Speicherung des Passkeys im Microsoft-Konto ist dieser auf allen Geräten verfügbar, auf denen Sie sich mit dem gleichen Microsoft-Konto anmelden. Sie müssen nur einmal die Windows Hello-Konfiguration durchlaufen lassen und können danach auf alle Passkeys zugreifen, die im Microsoft-Konto gespeichert sind. Parallel erlaubt Windows Hello auch die Speicherung von Passkeys auf mobilen Speichern oder mit dem PC verknüpften Smartphones. Diese Speicherungsmöglichkeit zeigt der Einrichtungsassistent an, wenn ein solches Gerät mit dem PC verbunden ist.

Nutzung und Verwaltung von Passkeys

Sobald der Hauptschlüssel bzw. Passkey hinzugefügt wurde, erscheint eine Meldung und man kann sich in Zukunft damit anmelden. Wählen Sie zum Beispiel die Variante „iPhone, iPad oder Android-Gerät“ aus, erscheint ein QR-Code, der mit dem Smartphone gescannt werden muss. Auf dem Smartphone lässt sich danach wiederum auswählen, in welcher App der Schlüssel gespeichert werden soll. Das kann zum Beispiel eine Authenticator-App sein, oder im Falle von iPhones die neue App „Passwörter“.  Nach der Speicherung wird der Vorgang abgeschlossen und die Anmeldeoption wird im Microsoft-Konto gespeichert.

Über „Zusätzliche Sicherheitsoptionen“ können Sie auf der Seite account.microsoft.com bei Bedarf den Account in ein kennwortloses Konto umwandeln. Danach funktioniert die Authentifizierung nur noch über Windows Hello, einen Passkey oder die Authenticator-App.

Melden sich Benutzer nach der Einrichtung des Passkeys am Microsoft-Konto an, dann klicken sie im Login-Dialog auf die jeweilige Anmeldeoption, mit der die Anmeldung erfolgen soll. Neben der Authentifizierung mit Benutzernamen oder Kennwort, kann man an dieser Stelle noch die Option „Verwenden Sie stattdessen Ihr Gesicht, Ihren Fingerabdruck, Ihre PIN oder Ihren Sicherheitsschlüssel“ auswählen. Durch die Auswahl dieser Option können sich Anwender mit Windows Hello anmelden und dabei ihr Microsoft-Konto aus der Cloud verwenden.

Passkeys in Windows 11 verwalten

Unabhängig davon, wo Sie Passkeys überall verwenden, können Sie die Hauptschlüssel dazu in Windows 11 verwalten, auch für mehrere Dienste. Eine Übersicht über die gespeicherten Passkeys findet sich in der App Einstellungen unter Konten => Hauptschlüssel. Diese lassen sich an dieser Stelle löschen, wenn man sie nicht mehr benötigt.

Windows 11 24H2 kann die Keys zwischen mehreren PCs synchronisieren, wenn das gleiche Microsoft-Konto zum Einsatz kommt. Dazu müssen Sie sich an den verschiedenen PCs mit dem gleichen Microsoft-Konto anmelden. Richten Sie die Passkey-Anmeldung mit Windows Hello ein, wie in diesem Beitrag gezeigt, versucht Windows 11 24H2 bei der Anmeldung mit dem Microsoft-Konto an anderen PCs, ebenfalls Windows Hello mit den entsprechenden Einstellungen zu nutzen. Alternativ kann man einen FIDO2-Schlüssel als Speicher nutzen und diesen auf mehreren Rechnern einsetzen. Das geht auch ohne Windows 11 24H2.

Mit der Weiterentwicklung von Passkeys in Windows 11 24H2 setzt Microsoft auf eine optimierte und benutzerfreundlichere Lösung zur passwortlosen Authentifizierung. Aufbauend auf den bisherigen Fortschritten bietet die neue Version zusätzliche Funktionen und eine erweiterte Kompatibilität mit Drittanbieter-Lösungen. Mit Windows 11 24H2 unterstützt Microsoft Passkeys von Drittanbietern. Anwender können somit Passkeys, die zum Beispiel in Apple iCloud Keychain oder anderen Passwort-Managern gespeichert sind, direkt in Windows verwenden.

Erweiterte Sicherheit mit Windows Hello for Business

Sichere Authentifizierung für Unternehmen

Passkeys bilden bereits die Grundlage für eine sichere, passwortlose Authentifizierung in privaten und hybriden Umgebungen. Windows Hello for Business erweitert diese Technologie gezielt, um die speziellen Anforderungen von Unternehmen zu erfüllen. Diese Lösung erweitert die Funktionen von Windows Hello um spezifische Sicherheits- und Managementoptionen für Unternehmensnetzwerke, Entra ID und hybride Cloud-Umgebungen.

Windows Hello for Business ermöglicht eine nahtlose und kennwortlose Authentifizierung an Windows-Arbeitsstationen, Unternehmensressourcen und Cloud-Diensten. Dabei kombiniert die Lösung biometrische Methoden wie Gesichtserkennung und Fingerabdruck mit hardwaregestützter Sicherheit, die auf TPM (Trusted Platform Module) oder Virtual Smart Cards basiert. Dadurch bleibt die für die Authentifizierung benötigte Information immer lokal auf dem Gerät und bietet so Schutz vor Angriffen auf Übertragungswege.

Einrichtung und Verwaltung in Microsoft Intune

Die Konfiguration von Windows Hello for Business erfolgt idealerweise zentral über Microsoft Intune. Zuerst müssen Administratoren die Verwendung von Passkeys im jeweiligen Azure-Abonnement über das Entra Admin Center aktivieren.

Die IT-Administratoren stellen die Sicherheitsrichtlinien einheitlich bereit und verwalten sie zentral. Im Intune Admin Center aktivieren sie die Funktion unter „Geräte -> Registrierung -> Windows Hello for Business“ und setzen die Einstellung „Windows Hello for Business konfigurieren“ auf „Aktiviert“.

Unter „Endpunktsicherheit -> Verwalten -> Kontoschutz“ erstellen sie Sicherheitsrichtlinien. Sie wählen „Windows“ als Plattform und „Kontoschutz“ als Profiltyp, um PIN-Längen, Zeichentypen und weitere Sicherheitsvorgaben detailliert zu konfigurieren. Anschließend weisen sie die erstellten Richtlinien einzelnen Geräten oder Benutzergruppen zu, sodass die Einstellungen automatisch wirksam werden.

Windows Hello: Einrichtung durch Benutzer

Nach der Bereitstellung der Richtlinien startet auf den zugewiesenen Geräten der Einrichtungsassistent von Windows Hello, sobald sich der Benutzer anmeldet. Der Assistent leitet die Benutzer durch den Prozess der biometrischen Anmeldung oder der Festlegung einer PIN. Benutzer müssen die Anmeldung auf jedem Gerät separat einrichten, während das System die vorgegebenen Sicherheitsrichtlinien automatisch anwendet.

Nach der erfolgreichen Einrichtung können Benutzer auf Ressourcen in der Cloud oder lokal zugreifen, ohne sich erneut authentifizieren zu müssen. Die Anmeldung erfolgt über Windows Hello oder andere eingerichtete Methoden wie die Authenticator-App. Dabei greifen Administratoren bei Bedarf auf Conditional Access zurück, um für bestimmte Aktionen oder Anwendungen eine zusätzliche Multi-Faktor-Authentifizierung zu verlangen.

Verwaltung angebundener Geräte

Sobald ein Gerät erfolgreich registriert ist, wird es im Intune Admin Center unter „Geräte“ sichtbar. Über die App „Unternehmensportal“ erhalten Benutzer Zugriff auf freigegebene Ressourcen und Anwendungen oder können Informationen über ihre Geräte abrufen. Diese zentrale Verwaltung ermöglicht es IT-Administratoren, die Sicherheit und Compliance aller angebundenen Geräte kontinuierlich zu überwachen und anzupassen.

Sichere Verwaltung mit der IAM-Lösung IDM-Portal

Das IDM-Portal der FirstAttribute AG bietet eine benutzerfreundliche Oberfläche für das Authorization Management, die es Administratoren ermöglicht, den Überblick über die Verwaltung von Zugangsschlüsseln zu behalten. Mit anderen Worten: Unternehmen können genau steuern, welche Geräte und Benutzer Passkeys verwenden sollen, können oder müssen.

Technisch gesehen stellt das IDM-Portal eine direkte Verbindung zu Intune her. Dadurch können administrative Aufgaben über eine intuitive Schnittstelle im IDM-Portal durchgeführt und automatisch in Intune synchronisiert werden. Zudem automatisiert das IDM-Portal einen Großteil der Benutzerverwaltung, indem es Berechtigungen automatisch vergibt oder entzieht – basierend auf Änderungen von Attributen, Gruppen oder Rollen. So wird die Verwaltung von Zugangsschlüsseln nicht nur effizienter, sondern auch vollständig abgesichert.

Mehr über FirstWare IDM-Portal

Das FirstWare IDM-Portal von FirstAttribute ist eine integrierte Lösung für das Identity und Access Management (IAM), die die automatisierte Verwaltung von Nutzern und deren Berechtigungen ermöglicht, egal ob On-Prem oder in der Cloud.

Dieses Portal integriert sämtliche Facetten des Identity- und Access-Managements und ermöglicht einen zentralisierten Zugriff auf Identitäts- und Verzeichnisdienste.

Sprechen Sie uns an