Microsofts neues „Passwordless by default“ ist großartig – hat aber seinen Preis

baeba · 2025-05-07T10:16:40+09:00

Microsoft hat ein Verfahren eingeführt, bei dem für neue Konten standardmäßig passwortlose Anmeldung (Passkeys) aktiviert wird, allerdings mit der Einschränkung, dass die Installation der Microsoft-Authenticator-App faktisch Pflicht ist. Passkeys sind ein Authentifizierungsverfahren der nächsten Generation, das widerstandsfähig gegen Phishing und Datenlecks ist und auf dem WebAuthn-(FIDO2-)Standard basiert; sie arbeiten mit einem öffentlichen/privaten Schlüsselpaar. Dieses Modell erhöht zwar die Sicherheit, doch die Bindung an eine bestimmte App kann die Nutzererfahrung und einen Teil der Sicherheitsvorteile beeinträchtigen. 1. Microsofts Richtlinie „Passwortlose Anmeldung als Standard“ Ab 2025 werden für neue Microsoft-Konten Passkeys als Standard-Anmeldemethode eingeführt. Auch bestehende Nutzer werden bei der Anmeldung dazu aufgefordert, einen Passkey zu registrieren. Ziel: Sicherheitsrisiken und den Aufwand für Nutzer durch das Erstellen und Verwalten von Passwörtern zu verringern. Ein Versuch, Probleme wie Password-Spraying-Angriffe und Datenlecks zu lösen. 2. Technischer Überblick und Implementierung Was ist ein Passkey? Authentifizierung über ein öffentliches/privates Schlüsselpaar, das auf Basis von WebAuthn (FIDO2) erzeugt wird. Der private Schlüssel wird auf dem Gerät des Nutzers gespeichert (Smartphone, PC, YubiKey usw.) und gelangt nicht nach außen. Grundsätzlich resistent gegen Phishing, Passwort-Wiederverwendung und Datenlecks. Funktionsweise: Die Website sendet eine zufallsbasierte „Challenge“ → der Authenticator auf dem Gerät signiert → der Server prüft mit dem öffentlichen Schlüssel. Der Schlüssel ist an die jeweilige URL gebunden und kann daher nicht auf Phishing-Seiten wiederverwendet werden. 3. Einschränkungen und Grenzen Problem: Selbst wenn ein Passkey eingerichtet ist, ist ohne die Microsoft-Authenticator-App keine vollständige Abschaffung des Passworts möglich. Authy, Google Authenticator usw. sind nicht kompatibel. Nutzer werden damit faktisch zur Installation einer App gezwungen, was dem Anspruch „standardmäßig passwordless“ widerspricht. Sicherheitstechnische Implikation: Wenn weiterhin ein Passwort bestehen bleibt, gehen einige der Sicherheitsvorteile von Passkeys verloren. WebAuthn befindet sich weiterhin in Entwicklung, und bei der Nutzbarkeit gibt es noch Defizite.

(arstechnica.com)

1 Punkte von baeba 2025-05-07 | Noch keine Kommentare. | Auf WhatsApp teilen

Microsoft hat ein Verfahren eingeführt, bei dem für neue Konten standardmäßig passwortlose Anmeldung (Passkeys) aktiviert wird, allerdings mit der Einschränkung, dass die Installation der Microsoft-Authenticator-App faktisch Pflicht ist.
Passkeys sind ein Authentifizierungsverfahren der nächsten Generation, das widerstandsfähig gegen Phishing und Datenlecks ist und auf dem WebAuthn-(FIDO2-)Standard basiert; sie arbeiten mit einem öffentlichen/privaten Schlüsselpaar.
Dieses Modell erhöht zwar die Sicherheit, doch die Bindung an eine bestimmte App kann die Nutzererfahrung und einen Teil der Sicherheitsvorteile beeinträchtigen.

1. Microsofts Richtlinie „Passwortlose Anmeldung als Standard“

Ab 2025 werden für neue Microsoft-Konten Passkeys als Standard-Anmeldemethode eingeführt.
Auch bestehende Nutzer werden bei der Anmeldung dazu aufgefordert, einen Passkey zu registrieren.
Ziel:
- Sicherheitsrisiken und den Aufwand für Nutzer durch das Erstellen und Verwalten von Passwörtern zu verringern.
- Ein Versuch, Probleme wie Password-Spraying-Angriffe und Datenlecks zu lösen.

2. Technischer Überblick und Implementierung

Was ist ein Passkey?
- Authentifizierung über ein öffentliches/privates Schlüsselpaar, das auf Basis von WebAuthn (FIDO2) erzeugt wird.
- Der private Schlüssel wird auf dem Gerät des Nutzers gespeichert (Smartphone, PC, YubiKey usw.) und gelangt nicht nach außen.
- Grundsätzlich resistent gegen Phishing, Passwort-Wiederverwendung und Datenlecks.
Funktionsweise:
- Die Website sendet eine zufallsbasierte „Challenge“ → der Authenticator auf dem Gerät signiert → der Server prüft mit dem öffentlichen Schlüssel.
- Der Schlüssel ist an die jeweilige URL gebunden und kann daher nicht auf Phishing-Seiten wiederverwendet werden.

3. Einschränkungen und Grenzen

Problem: Selbst wenn ein Passkey eingerichtet ist, ist ohne die Microsoft-Authenticator-App keine vollständige Abschaffung des Passworts möglich.
- Authy, Google Authenticator usw. sind nicht kompatibel.
- Nutzer werden damit faktisch zur Installation einer App gezwungen, was dem Anspruch „standardmäßig passwordless“ widerspricht.
Sicherheitstechnische Implikation:
- Wenn weiterhin ein Passwort bestehen bleibt, gehen einige der Sicherheitsvorteile von Passkeys verloren.
WebAuthn befindet sich weiterhin in Entwicklung, und bei der Nutzbarkeit gibt es noch Defizite.

Microsofts neues „Passwordless by default“ ist großartig – hat aber seinen Preis

1. Microsofts Richtlinie „Passwortlose Anmeldung als Standard“

2. Technischer Überblick und Implementierung

3. Einschränkungen und Grenzen

Verwandte Beiträge

Noch keine Kommentare.