Microsoft Entra Passkeys w Windows: nowe podejście do uwierzytelniania odpornego na phishing - Security Bez Tabu

Microsoft Entra Passkeys w Windows: nowe podejście do uwierzytelniania odpornego na phishing

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft rozszerza możliwości uwierzytelniania bezhasłowego w ekosystemie Entra, wprowadzając obsługę Entra passkeys na urządzeniach z Windows. To istotna zmiana dla organizacji, które chcą ograniczyć zależność od tradycyjnych haseł i jednocześnie objąć silniejszą ochroną scenariusze dostępu z urządzeń osobistych, współdzielonych oraz niezarządzanych.

Nowe rozwiązanie ma umożliwić logowanie odporne na phishing do zasobów chronionych przez Microsoft Entra także wtedy, gdy komputer nie jest przyłączony ani zarejestrowany w środowisku Entra. W praktyce oznacza to rozszerzenie modelu passwordless poza klasyczne, w pełni zarządzane stacje robocze.

W skrócie

Microsoft rozpoczął wdrażanie Entra passkeys na Windows pod koniec kwietnia 2026 roku, a pełną dostępność zapowiedziano do połowy czerwca 2026 roku. Mechanizm pozwala tworzyć klucze dostępu powiązane z konkretnym urządzeniem i przechowywane lokalnie w bezpiecznym kontenerze Windows Hello.

  • Uwierzytelnianie odbywa się z użyciem biometrii lub kodu PIN.
  • Rozwiązanie ma działać na urządzeniach firmowych, osobistych i współdzielonych.
  • Poświadczenia nie są przesyłane przez sieć w formie podatnej na przechwycenie.
  • Organizacja zachowuje kontrolę dzięki politykom Authentication Methods oraz Conditional Access.

Kontekst / historia

Od kilku lat sektor enterprise konsekwentnie odchodzi od haseł na rzecz modeli passwordless. Powód jest oczywisty: hasła nadal pozostają jednym z głównych wektorów ataku, zarówno w kampaniach phishingowych, jak i w scenariuszach credential stuffing, brute force czy wykorzystania danych uwierzytelniających po wcześniejszych wyciekach.

Microsoft od dawna rozwija ten kierunek poprzez Windows Hello for Business, FIDO2, MFA oraz funkcje związane z ochroną tożsamości w ramach Entra. Dotychczas jednak część scenariuszy, zwłaszcza w modelach BYOD i na urządzeniach współdzielonych, nadal wymuszała kompromis między wygodą a bezpieczeństwem. Entra passkeys na Windows mają ograniczyć ten problem, dostarczając silne uwierzytelnianie także poza standardowym profilem urządzenia korporacyjnego.

Analiza techniczna

Nowa funkcja opiera się na modelu FIDO2 i wykorzystuje lokalny kontener Windows Hello do przechowywania poświadczenia powiązanego z urządzeniem. Zamiast wspólnego sekretu, jakim jest hasło, wykorzystywana jest para kryptograficzna służąca do potwierdzenia tożsamości użytkownika. Sam proces logowania wymaga lokalnego odblokowania poświadczenia przy pomocy rozpoznawania twarzy, odcisku palca albo kodu PIN.

Kluczowa różnica względem Windows Hello for Business dotyczy zakresu zastosowania. Windows Hello for Business jest silnie związany z zaufaniem do urządzenia, logowaniem do systemu i scenariuszami single sign-on. Entra passkeys na Windows koncentrują się natomiast na uwierzytelnianiu wobec Microsoft Entra ID również wtedy, gdy urządzenie nie zostało wcześniej dołączone ani zarejestrowane w tenantcie.

Z perspektywy architektury bezpieczeństwa najważniejsze są cztery cechy tego modelu:

  • poświadczenie jest przypisane do konkretnego urządzenia,
  • jest przechowywane lokalnie i nie opuszcza hosta w formie podatnej na przejęcie,
  • aktywacja wymaga lokalnego czynnika użytkownika,
  • organizacja nadal może ograniczać dopuszczalne scenariusze logowania politykami dostępu.

W efekcie rozwiązanie zamyka istotną lukę w środowiskach mieszanych, gdzie dostęp do zasobów firmowych z komputerów niezarządzanych wcześniej często oznaczał konieczność pozostawienia haseł jako metody podstawowej lub awaryjnej.

Konsekwencje / ryzyko

Największą korzyścią jest ograniczenie ryzyka przejęcia kont przez phishing oraz ataki wykorzystujące skradzione dane logowania. Passkey nie jest sekretem wpisywanym do formularza, więc klasyczne techniki wyłudzania poświadczeń stają się znacznie mniej skuteczne. To szczególnie ważne w przypadku dostępu do usług SaaS i zasobów chronionych przez Entra.

Jednocześnie wdrożenie passkeys nie eliminuje wszystkich zagrożeń. Jeśli urządzenie końcowe zostanie skompromitowane, atakujący nadal może próbować przejąć aktywną sesję, wykorzystać tokeny dostępu lub nadużyć zaufanej stacji roboczej po zakończeniu procesu logowania. Oznacza to, że silniejsze uwierzytelnianie musi być uzupełnione ochroną endpointów, monitoringiem oraz analizą anomalii.

Ryzykiem pozostaje również błędna konfiguracja polityk. Zbyt szerokie dopuszczenie logowania z urządzeń osobistych lub współdzielonych bez odpowiednich warunków bezpieczeństwa może osłabić całościowy model kontroli dostępu, szczególnie w organizacjach działających pod presją wymogów regulacyjnych.

Rekomendacje

Organizacje planujące wdrożenie Entra passkeys na Windows powinny rozpocząć od kontrolowanego pilotażu obejmującego wybrane grupy użytkowników i precyzyjnie zdefiniowane scenariusze BYOD oraz shared device. Kluczowe jest powiązanie nowej metody logowania z Conditional Access, tak aby była dostępna wyłącznie tam, gdzie ryzyko zostało właściwie ocenione.

Warto również zaktualizować polityki Authentication Methods, procedury onboardingu oraz procesy helpdeskowe związane z rejestracją nowych poświadczeń, odzyskiwaniem dostępu i wymianą urządzeń. W praktyce wdrożenie powinno być traktowane jako element szerszej strategii ochrony tożsamości, a nie pojedyncza funkcja zastępująca wszystkie pozostałe zabezpieczenia.

  • uruchomić pilotaż dla wybranych użytkowników i aplikacji,
  • segmentować dostęp do systemów o podwyższonym ryzyku,
  • monitorować logowania z urządzeń niezarządzanych,
  • korelować zdarzenia Entra z danymi z EDR i SIEM,
  • utrzymywać silne kontrole sesji po uwierzytelnieniu,
  • szkolić użytkowników, że passkeys ograniczają phishing, ale nie chronią przed każdym skutkiem infekcji malware.

Dobrą praktyką będzie też porównanie roli Entra passkeys z już wdrożonym Windows Hello for Business. W wielu organizacjach oba mechanizmy będą się uzupełniać: pierwszy rozszerzy ochronę na scenariusze mniej zaufane, a drugi pozostanie podstawą logowania i uwierzytelniania na urządzeniach korporacyjnych.

Podsumowanie

Wprowadzenie Microsoft Entra passkeys na Windows to ważny krok w rozwoju uwierzytelniania bezhasłowego w środowiskach enterprise. Najistotniejszą zmianą jest możliwość objęcia odpornym na phishing logowaniem także tych urządzeń, które dotąd pozostawały poza pełnym modelem zarządzania Entra.

Dla zespołów bezpieczeństwa oznacza to szansę na realne ograniczenie ryzyka związanego z kradzieżą haseł i phishingiem, przy zachowaniu centralnej kontroli poprzez polityki metod uwierzytelniania i Conditional Access. Skuteczność wdrożenia będzie jednak zależała od właściwej segmentacji ryzyka, poprawnej konfiguracji oraz integracji nowego modelu z ochroną endpointów i monitoringiem sesji.

Źródła

  1. Microsoft to roll out Entra passkeys on Windows in late April — https://www.bleepingcomputer.com/news/microsoft/microsoft-to-roll-out-entra-passkeys-on-windows-in-late-april/
  2. Passkeys in Microsoft Entra ID — https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-enable-passkey-fido2
  3. Windows Hello for Business overview — https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/
  4. FIDO Alliance – Passkeys — https://fidoalliance.org/passkeys/
  5. Microsoft Secure Future Initiative — https://www.microsoft.com/en-us/security/business/secure-future-initiative