Microsoft stellt die sogenannten Passkey Profile nach der Vorschau-Phase der Allgemeinheit zur Verfügung und ermöglicht damit eine granulare Konfiguration je Zielgruppe.

Was sind Passkeys überhaupt?

Passkeys sind eine passwortlose Anmelde-Methode, welche mehrere Probleme angehen:

  • Kein Phishing: Es gibt kein Passwort, das man auf einer Fake-Seite eingeben könnte.
  • Keine Wiederverwendung: Jeder Passkey ist eindeutig an einen Dienst gebunden.
  • Kein MFA-Spam: Push-Bombing oder Code-Abfragen funktionieren hier nicht.
  • Kein Shared Secret: Server speichern nur öffentliche Schlüssel, keine sensiblen Anmeldedaten.

Aus technischer Sicht wird ein einmaliges Schlüsselpaar erzeugt, welches das klassische Passwort ersetzt oder ergänzt. Für die Nutzung ist meist nur ein Smartphone notwendig.

Aufgrund dieser niedrigen Einstiegshürde - und der einfachen Nutzung - erfreuen sich Passkeys zunehmender Beliebtheit. Auch im privaten Umfeld.

Device-bound vs. synced Passkeys:

Bei der Art der Passkeys wird in die beiden Varianten unterschieden:

  • Device-bound Passkeys: Der Schlüssel ist an ein einzelnes Gerät gebunden, ähnlich wie ein Hardware-Token.
  • Synced Passkeys: Der Schlüssel wird über sichere Plattformmechanismen zwischen Geräten eines Nutzers synchronisiert, etwa über das Betriebssystem oder den Plattformanbieter.

Was ändert sich mit Passkey Profiles?

Die bisherige Konfiguration in Entra hat nur eine starre Passkey Konfiguration zugelassen. Es konnten die Einstellungen nur global getroffen werden. Diese betraff im Anschluss sowohl Administratoren und End-Nutzer.

Mit den Profilen lassen sich zum aktuellen Stand bis zu 3 Profile definieren.

Wie kann so eine Konfiguration aussehen?

Klar zu nennen ist, dass ein Passkey, der ans Gerät gebunden ist, einen höheren Sicherheitsstandard bietet. Die Schattenseite davon ist aber auch, dass dies bei Endnutzern zu geringerer Akzeptanz führt. Ein Endgeräte-Wechsel bringt hier auch einen neuen Passkey inkl. dem Prozess dazu mit. In größeren Umgebungen kann dies schnell zu Mehraufwänden im Support führen.

Daher ist eine mögliche Konfiguration & Einsatzzweck für die Passkey Profile:

Administratoren: Device-bound Passkeys mit Attestation

End-Nutzer: Synced Passkeys ohne weitere Einschränkungen

Fazit

Microsoft liefert mit den Profilen einen Mehrwert da der Spagat zwischen den Anforderungen von End-Nutzern und Administratoren ermöglicht wird.