Microsoft, AWS und FIDO: Passwörter haben ausgedient

Die Abschaffung von Passwörtern ist keine Zukunftsvision mehr – sie geschieht jetzt. Innerhalb von nur 72 Stunden haben Microsoft, Amazon Web Services und die FIDO Alliance die Weichen für eine passwortlose Zukunft gestellt. Die Botschaft ist eindeutig: Das Zeitalter des „gemeinsamen Geheimnisses” endet, kryptografische Standards übernehmen.

Was bedeutet das konkret? Statt sich Passwörter zu merken, authentifizieren sich Nutzer künftig über biometrische Daten oder Sicherheitsschlüssel – sogenannte Passkeys. Diese gelten als praktisch unknackbar, weil sie nicht abgefangen oder durch Phishing gestohlen werden können. Doch bisher gab es ein Problem: Wer sein Smartphone verlor, verlor auch den Zugang zu allen Diensten.

Am 3. Dezember kündigte Microsoft einen Durchbruch an: Die öffentliche Vorschau von synchronisierten Passkeys für Microsoft Entra ID. Bisher waren Passkeys an einzelne Geräte gebunden – sicher, aber unpraktisch. IT-Abteilungen weltweit kennen das Szenario: Der Chef verliert sein Handy, und damit auch den Zugang zu kritischen Systemen.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen, die den Zugriff auf Passkeys und sensible Apps gefährden. Ein kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie Ihr Smartphone gegen Datendiebstahl, Phishing und fremden Zugriff schützen – inklusive Checklisten für WhatsApp, Banking und Authenticator-Apps. Praktische Anleitung für alle, die Passkeys, MFA und digitale Ausweise sicher nutzen wollen. Gratis-Sicherheitspaket für Android jetzt herunterladen

Mit der neuen Lösung können Passkeys über die Microsoft Authenticator App geräteübergreifend synchronisiert werden. Ein Passkey, der auf dem Smartphone erstellt wurde, steht automatisch auch auf dem Tablet zur Verfügung – verschlüsselt und sicher.

Noch wichtiger: Microsoft führt ein Account Recovery-Verfahren ein. Wer ausgesperrt ist, kann sich mit Personalausweis und biometrischem Selfie identifizieren. Ein Sicherheitsnetz, das in einer passwortlosen Welt unverzichtbar wird.

„Wir bewegen uns von einer Welt, in der Sicherheit durch Reibung definiert wurde, zu einer, in der Sicherheit durch Portabilität definiert wird”, heißt es aus Microsofts Identity-Abteilung.

FIDO Alliance weitet Mission aus

Einen Tag später, am 4. Dezember, legte die FIDO Alliance nach – die Organisation, die hinter den Standards FIDO2 und WebAuthn steht. Mit der Digital Credentials Initiative startet sie einen neuen Vorstoß: die Standardisierung digitaler Identitätsnachweise.

Während Passkeys die Authentifizierung übernehmen (beweisen, wer man ist), zielt die Initiative auf Verifizierung (beweisen, was man darf). Konkret geht es um digitale Führerscheine, Reisepässe und Mitarbeiterausweise. Die Vision: Ein digitaler Ausweis, der weltweit anerkannt wird – egal ob beim Autovermieter, an der Flughafenkontrolle oder beim Login ins Firmennetzwerk.

„Wir wollen die gleiche bewährte Zusammenarbeit, die Passkeys zum Erfolg verhalf, nun auf digitale Nachweise übertragen”, erklärt FIDO-CEO Andrew Shikiar. Mit an Bord: EMVCo (verantwortlich für Visa- und Mastercard-Standards), die OpenID Foundation und das W3C.

Das Ziel ist klar: Vermeidung eines Flickenteppichs inkompatibbler digitaler Geldbörsen. Erste Spezifikationsentwürfe sollen Mitte 2026 vorliegen.

AWS macht Multi-Faktor-Authentifizierung zur Pflicht

Auf der Konferenz re:Invent 2025 in Las Vegas (1.–5. Dezember) unterstrich Amazon Web Services, dass optionale Sicherheit nicht mehr ausreicht. Der Cloud-Gigant bestätigte seinen Zeitplan: Ab Frühjahr 2025 wird Multi-Faktor-Authentifizierung (MFA) auch für eigenständige Mitgliedskonten verpflichtend.

Die Botschaft dahinter: AWS wartet nicht mehr darauf, dass Kunden freiwillig Best Practices umsetzen. Durch die Durchsetzung phishing-resistenter MFA auf Infrastruktur-Ebene schließt der Konzern das häufigste Einfallstor für Ransomware und Datendiebstahl – komprommittierte Zugangsdaten.

Ergänzend stellte AWS den Security Agent vor, ein Tool, das bereits während der Softwareentwicklung Schwachstellen identifiziert. Sicherheit wird damit „nach links” verschoben – Probleme werden behoben, bevor Code überhaupt produktiv geht.

Zusammen mit Google Cloud, das Ende 2025 ebenfalls MFA-Pflicht einführt, haben die drei großen Hyperscaler bald eine einheitliche Sicherheitsbasis.

Der Kompromiss: Synchronisierung statt Hardwarebindung

Die Entwicklungen dieser Woche markieren das Ende einer jahrelangen Kontroverse: Wie sicher müssen Passkeys sein – und wie benutzerfreundlich dürfen sie werden?

Sicherheitspuristen argumentierten lange, dass Passkeys niemals das Gerät verlassen dürften, auf dem sie erstellt wurden. Doch diese „Hardwarebindung” schuf ein Wiederherstellungs-Alptraum. Microsofts Entscheidung, synchronisierte Passkeys zu unterstützen, signalisiert: Die Branche akzeptiert das (verschlüsselte) Cloud-Sync-Risiko, um die massiven Vorteile der Benutzerfreundlichkeit zu ernten.

„Die Reibung reiner Hardware-Tokens war die größte Hürde für die Massenakzeptanz phishing-resistenter MFA”, heißt es in Branchenanalysen. „Indem Microsoft synchronisierte Passkeys legitimiert, gibt das Unternehmen Konzernen die Erlaubnis, Nutzererfahrung zu priorisieren – ohne zu Passwörtern zurückzukehren.”

Was kommt 2026?

Die erste Jahreshälfte 2026 dürfte vom „Migrations-Sprint” geprägt sein. Unternehmen müssen sich auf die AWS-Verpflichtungen ab Frühjahr 2025 vorbereiten und Microsofts neue Passkey-Funktionen integrieren. Zudem werden die ersten Spezifikationen für interoperable digitale Geldbörsen erwartet.

Für IT-Sicherheitschefs ist die Botschaft dieser Woche unmissverständlich: Die Technologie zur Eliminierung von Phishing ist ausgereift, verfügbar – und in vielen Fällen verpflichtend. Die Zeit für Pilotprojekte ist vorbei. Die Zeit der Umsetzung hat begonnen.

Kann das Smartphone bald tatsächlich Personalausweis, Firmenbadge und sämtliche Logins ersetzen? Die technischen Grundlagen dafür wurden diese Woche gelegt.

PS: Wenn Ihr Smartphone bald Personalausweis, Firmenbadge und Passkeys tragen soll, sollten Sie es jetzt absichern. Das kostenlose Sicherheitspaket zeigt die fünf wichtigsten Schutzmaßnahmen für Android-Geräte, erklärt, wie Sie geräteübergreifende Synchronisation sicher einrichten und wie Sie Recovery-Fälle (Handy verloren) abdecken. Ideal für IT-Sicherheitschefs und Privatanwender, die phishing-resistente MFA nutzen wollen. Jetzt kostenloses Android-Schutzpaket anfordern