Microsoft Entra ID: Passkeys ab September zum Standard
Veröffentlicht: 14.07.2026 um 09:23 Uhr, Redaktion boerse-global.de
Microsoft macht Passkeys zum Standard – und kappt alte Sicherheitsverfahren.
Der Tech-Konzern kündigt einen radikalen Umbau seiner Authentifizierungssysteme an. Ab September 2026 werden Passkeys die Standard-Anmeldemethode für Microsoft Entra ID. Die bisher genutzten SMS- und Sprachverfahren werden bis Februar 2027 komplett eingestellt.
Die Zeitpläne im Überblick
Die Umstellung erfolgt in mehreren Schritten. Ab dem 1. September 2026 ist der Passkey der voreingestellte Authentifizierungsweg. Nutzer, die bislang SMS oder Sprachanrufe für die Zwei-Faktor-Authentifizierung (MFA) nutzen, werden ab Herbst 2026 automatisch aufgefordert, einen Passkey zu registrieren. Microsoft steuert diese Kampagne zentral.
Wer bis zum 1. Februar 2027 keine alternative sichere Methode eingerichtet hat, kommt um die Passkey-Registrierung nicht mehr herum – sie wird dann zur Pflicht.
Ausnahmen für Unternehmen
Ganz ohne Telefonie geht es nicht. Für Organisationen mit speziellen Anforderungen bietet Microsoft einen Ausweg: Ab dem 30. Oktober 2026 können Unternehmen über den Microsoft Security Store Drittanbieter-Dienste für SMS und Sprachanrufe buchen. Die Logik bleibt erhalten, die Infrastruktur kommt dann von externen Partnern.
Wer bis September 2026 keine Passkey-Strategie hat, riskiert Produktivitätseinbußen und Sicherheitslücken. Microsoft kappt SMS-MFA – dieser Report liefert den konkreten 6-Monate-Migrationsplan inklusive Drittanbieter-Checkliste. Jetzt kostenlosen Migrationsplan anfordern
Warum der Schritt notwendig ist
Hinter der Entscheidung steckt eine ernüchternde Sicherheitsbilanz. Klassische MFA-Verfahren sind zunehmend Ziel professioneller Angriffe. Ein aktueller Fall zeigt die Dimension: Eine Device-Code-Phishing-Kampagne von Juni 2025 bis Juli 2026 konnte 218 Opfer kompromittieren – die Angreifer stahlen OAuth-Tokens und umgingen so die MFA-Sperren.
Noch perfider: Die Hackergruppe O-UNC-066 setzt spezielle Phishing-Kits ein, die den offiziellen Microsoft-Passkey-Anmeldeprozess nachahmen. Opfer werden getäuscht, einen fremden Passkey zu registrieren – die Angreifer übernehmen dann das Konto.
So funktionieren Passkeys
Die Hackergruppe O-UNC-066 imitiert bereits den Microsoft-Passkey-Prozess – 218 Opfer in einer einzigen Kampagne. Ihr Team braucht einen Schutzleitfaden, bevor die Angreifer Ihre Konten übernehmen. Dieser Report zeigt, wie Sie Passkey-Phishing erkennen und abwehren. Sicherheitsleitfaden jetzt sichern
Das System basiert auf einem öffentlich-privaten Schlüsselpaar. Der private Schlüssel bleibt auf dem Gerät des Nutzers – Microsoft bekommt ihn nie zu sehen. Nur der öffentliche Schlüssel liegt beim Dienst. Die Freigabe erfolgt meist per Biometrie (Gesichtserkennung oder Fingerabdruck). Wichtig: Diese Daten verlassen das Gerät nicht.
Neben Passkeys bleibt die Microsoft Authenticator-App als Alternative erhalten. Wer also lieber bei der App bleibt, kann das weiterhin nutzen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
