Microsoft hat bekannt gegeben, dass es ab Ende April und mit allgemeiner Verfügbarkeit für Mitte Juni 2026 geplant, Unterstützung für Passkeys für passwortfreie und phishing-resistente Authentifizierung in Microsoft-geschützten Ressourcen Geben Sie von Windows-Geräten. Diese Maßnahme erweitert die passwortlose Authentifizierung nicht nur auf verwaltete Geräte, sondern auch auf nicht registrierte oder nicht mit Entre verbundene persönliche und geteilte Geräte, die eine wesentliche Änderung der Microsoft-Geschäftsplattform-Zugriffsstrategie darstellen.
Die Implementierung verwendet FIDO2-Anmeldeinformationen, die mit dem Gerät verbunden und im sicheren Container von Windows Hello gespeichert werden; Benutzer authentifizieren sich mit lokalen Methoden wie Gesichtserkennung, Fußabdruck oder PIN. Laut Microsoft sind Sie Anmeldeinformationen verlassen nie das Gerät, so dass sie nicht während der Phishing-Angriffe oder durch traditionelle Techniken der Anmelde-Diebstahl abgefangen werden können, die die Barriere gegen die jüngsten Wellen von Kampagnen, die auf SSO-Konten von Entre mit gestohlenen Anmeldeinformationen.
Aus Sicht der Verwaltung und Governance kann Entre den Einsatz durch die Politiken kontrollieren Authentifizierungsmethoden und Conditional Access; d.h. Administratoren können entscheiden, in welchen Szenarien und für welche Gruppen die Verwendung von Passwörtern aktiviert ist, und Ausnahmen oder Einschränkungen in Abhängigkeit vom Zustand des Gerätes und dem Zugriffsrisiko anwenden. Dies erleichtert die inkrementelle und gezielte Einführung von Technologie, ohne den gesamten Zugriff unaufhörlich auszuschließen.
Der wichtigste technische Gewinn ist die Verringerung der Abhängigkeit von traditionellen Passwörtern und MFAs, die auf wiederverwendbaren oder phishing-suszeptablen Faktoren basieren. Die Anwendung von Passwörtern beseitigt jedoch nicht alle Risiken: Sicherheit hängt nun auch von der Integrität des lokalen Geräts ab und wie Registrierungs- und Wiedereinsetzungsflüsse verwaltet werden. Unternehmen sollten komplementäre Angriffsvektoren, wie Geräteverlobung durch Malware oder Social Engineering während der Registrierung eines Passkey gerichtet bewerten.
Ich empfehle, dass Sicherheits- und IT-Beamte diese Änderung in ihrer Identitätskarte einschließen: Aktivieren und testen Sie Passwörter in eine Pilotgruppe, aktualisieren oder erstellen Sie Conditional Access-Richtlinien, die persönliche und freigegebene Geräte enthalten, benötigen MFA-Registrierung, und Dokumentwiederherstellungsströme, die sich nicht nur auf Passwörter verlassen. Es ist der Schlüssel zur Implementierung von Authentifizierung und Alarmüberwachung, um anormale Versuche während und nach der Bereitstellung zu erkennen.
Ebenso wichtig ist die Benutzerausbildung: erklären Sie, was ein Passkey ist, wie Windows Hello verwendet wird, um zu authentifizieren und was das Verfahren bei Verlust oder Diebstahl des Geräts ist. Aus einer Kontinuitätsperspektive sollten autorisierte Alternativen (z.B. verwaltete Hardwareschlüssel oder Microsoft Authenticator) und Restaurationstests zur Vermeidung von Massensperrungen angeboten werden.
Die Ankunft der Entre-Passwörter unter Windows ist mit breiteren Brancheninitiativen, um Passwörter zu verlassen: Organismen und Standards wie die FI. Allianz die Verwendung von öffentlichen Schlüsseln und sicheren Geräten zu fördern, und Lieferanten und technische Anleitungen erklären die praktischen Vorteile von Passwörtern (z.B. diese technische Einführung von Cloudflare: Passkeys - Cloudflare) Microsoft hat auch ähnliche Aktionen innerhalb seiner Sichere Zukunftsinitiative, die versucht, Maßnahmen wie obligatorische MFA in bestimmten Szenarien und Übergang zu passwortfreien Konten zu fördern.
Abschließend schließt die Erweiterung der Passwörter auf unmanaged Windows-Geräte eine wichtige operative Lücke und reduziert die Angriffsfläche, die mit Passwörtern verbunden ist, ist aber keine Panacea. Sichere Annahme erfordert Planung, risikobasierte Zugriffskontrollen, Vorbereitung von Erholungsprozessen und kontinuierliche Überwachung. Organisationen, die diese Punkte ansprechen, werden in der Lage sein, ihre Identitätsposition deutlich zu verbessern, während sie kontrolliert zu einem phishing-resistenten passwortlosen Modell wandern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...