Microsoft, Entra

Microsoft Entra ID: Passwort-Zurücksetzung wird ab September strenger

06.06.2026 - 02:18:26 | boerse-global.de

Microsoft kündigt weitreichende Sicherheitsupdates an: Self-Service-Passwort-Reset wird umgestellt, Edge verliert Master-Passwort-Funktion.

Microsoft verschärft Sicherheit: Passwort-Reset und Edge-Änderungen
Microsoft - A glowing padlock icon over a futuristic digital network, symbolizing enhanced security and identity management. 06.06.2026 - Bild: über boerse-global.de

Der US-Konzern reagiert auf zunehmende Hackerangriffe und führt weitreichende Änderungen bei der Identitätsverwaltung ein.

Strengere Regeln für Passwort-Zurücksetzung

Ein zentraler Einschnitt betrifft die Self-Service-Password-Reset-Funktion (SSPR) in Microsoft Entra ID. Ab dem 7. September 2026 fallen Telefonnummern und E-Mail-Adressen als Verifikationsmethode weg, wenn sie nur in den Verzeichnisfeldern hinterlegt sind. Nutzer müssen ihre Authentifizierungsdaten dann explizit in Entra ID registrieren.

Anzeige

Microsoft verschärft die Sicherheitsregeln, da herkömmliche Passwörter zunehmend zum Sicherheitsrisiko werden. Dieser kostenlose Report zeigt, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Microsoft, Amazon und Co. ohne Passwort-Stress und Phishing-Gefahr absichern. Passkey-Ratgeber jetzt kostenlos herunterladen

Zur Vorbereitung startet Microsoft am 6. Juli 2026 eine Registrierungskampagne. Administratoren sollten jetzt prüfen, ob ihre SSPR-Abdeckung ausreicht, und die Nutzer zur Registrierung bewegen. Der Hintergrund: Bisherige Verzeichnisdaten sind oft veraltet oder ungepflegt – ein Sicherheitsrisiko.

Dass Handlungsbedarf besteht, zeigen aktuelle Probleme: Seit Mai 2026 haben einige Azure-B2C-Mandanten Schwierigkeiten mit der Zustellung von SSPR-Verifizierungs-E-Mails. Ursachen sind Wechsel bei den E-Mail-Backend-Anbietern und mögliche Konfigurationsfehler.

Browser-Passwörter werden abgeschafft

Parallel dazu verabschiedet sich Microsoft von klassischen Passwort-Managern im Browser. Am 4. Juni 2026 entfernte Microsoft Edge die Funktion „Custom Primary Password". Statt eines Master-Passworts kommt nun Windows Hello zum Einsatz.

Nutzer greifen auf ihre gespeicherten Zugangsdaten per Biometrie zu – Fingerabdruck oder Gesichtserkennung. Alternativ funktioniert ein gerätespezifischer PIN. Der Vorteil: Biometrische Daten sind hardwaregebunden und lassen sich nicht so leicht phishing wie Cloud-synchronisierte Passwörter. Einzige Einschränkung: Windows Hello benötigt Infrarotsensoren, die im Dunkeln versagen können.

Der Trend ist eindeutig: Die durchschnittliche Anzahl an Passwörtern pro Person sank von 168 im Jahr 2024 auf 120 im Jahr 2026. Immer mehr Nutzer setzen auf passwortlose Methoden.

Neue Bedrohungslage durch Phishing-Plattformen

Der Vorstoß kommt nicht von ungefähr. Im Juni 2026 warnte das FBI vor der Plattform Kali365, die OAuth-Gerätecode-Flows nutzt, um Sitzungstoken zu stehlen. Die Masche: Nutzer werden auf einer legitimen Microsoft-Seite zur Autorisierung eines Angreifers verleitet. Die Kriminellen erhalten dann dauerhaften Zugriff auf Outlook, Teams und OneDrive – ohne Passwort oder MFA-Code.

Noch dreister geht die Erpressergruppe Pink vor, die seit dem 31. Mai 2026 aktiv ist. Sie kombiniert Vishing (Telefon-Betrug) mit gefälschten Phishing-Seiten, stiehlt Daten aus SharePoint und OneDrive über Microsoft Graph und verschickt Lösegeldforderungen direkt über Teams und E-Mail.

Anzeige

Angesichts der Rekord-Schäden durch Phishing und Identitätsdiebstahl setzen immer mehr Experten auf moderne Awareness-Strategien. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, wie Sie die psychologischen Manipulationstaktiken der Hacker entlarven und Ihr Unternehmen wirksam schützen. Kostenloses Anti-Phishing-Paket sichern

Große Unternehmen reagieren mit Konsolidierung. Domino's Pizza Enterprises etwa migrierte seine gesamte Identitätsverwaltung zu Microsoft Entra ID. Ziel: vereinfachtes Nutzermanagement und Kosteneffizienz für die weltweite Belegschaft.

Neue Kontrollen und autonome Assistenten

Microsoft hat zudem Advanced Connector Policies (ACP) für die Power Platform eingeführt. Administratoren können damit bestimmte Connectors oder Aktionen standardmäßig blockieren – nach dem Prinzip der strengen Erlaubnisliste. So soll unbefugter Datentransfer durch KI-Tools und Drittanbieter-Integrationen verhindert werden.

Ebenfalls neu: Scout, ein persönlicher autonomer Agent für Microsoft 365. Derzeit in privater Vorschau für ausgewählte Kunden, arbeitet Scout in Teams, Outlook und SharePoint. Er erledigt Aufgaben wie Terminplanung und Risikoerkennung. Jeder Scout-Agent besitzt eine eigene Entra-Identität – alle Aktionen bleiben nachvollziehbar und prüfbar.

Die Bilanz ist gemischt: Während die Gesamtzahl der Microsoft-Sicherheitslücken im letzten Jahr um sechs Prozent sank, verdoppelten sich kritische Schwachstellen – besonders solche, die Rechteausweitung ermöglichen. Für IT-Abteilungen heißt das: noch mehr Druck, Administratoren-Identitäten zu sichern und Zugriffskontrollen in Azure und Office zu verschärfen.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
de | wissenschaft | 69490564 |