Salesforce führt ab Juli 2026 eine schrittweise Pflicht zur phishing-resistenten Zwei-Faktor-Authentifizierung ein. Betroffen sind zunächst Administratoren, später alle Nutzer.
Der Cloud-Riese reagiert damit auf die zunehmende Bedrohung durch Identitätsdiebstahl. Während herkömmliche Zahlen-Codes immer häufiger von Hackern umgangen werden, setzt Salesforce künftig auf Passkey-Technologie – ein Verfahren, das klassische Passwörter überflüssig machen soll.
Angesichts der schärferen Sicherheitsvorgaben bei Salesforce wird deutlich, dass Passwörter als alleiniger Schutz ausgedient haben. Ein kostenloser Report zeigt, wie Sie die zukunftsweisende Passkey-Technologie bei Diensten wie Amazon, Microsoft und WhatsApp sofort einrichten. Was hinter Passkeys steckt und wie Sie sie nutzen
Zwei Phasen für unterschiedliche Nutzergruppen
Der Stichtag für privilegierte Nutzer und Administratoren ist der 1. Juli 2026. Sie müssen dann zwingend FIDO2-kompatible Passkeys oder biometrische Verfahren wie Touch ID oder Windows Hello verwenden. Einmal-Passwörter (OTP) sind für diese Gruppe nicht mehr zulässig.
Nur 19 Tage später, am 20. Juli 2026, weitet Salesforce die Pflicht auf alle Mitarbeiter aus. Dann sind auch die Salesforce Authenticator App und zeitbasierte Einmal-Passwörter (TOTP) erlaubt. Unternehmen, die Single Sign-On (SSO) nutzen, müssen bestimmte Signale an Salesforce übermitteln – sogenannte Authentication Methods References (AMR) oder Authentication Context Class Reference (ACR). Nur so kann der Dienst prüfen, ob die Anmeldung den neuen Sicherheitsstandards genügt.
Wie die Umstellung technisch funktioniert
Administratoren bereiten die Umstellung über die Berechtigung „Multi-Factor Authentication for User Interface Logins“ vor. Der Clou an Passkeys: Sie speichern keine sensiblen Zugangsdaten, sondern nur öffentliche Schlüssel. Selbst wenn ein Server gehackt wird, sind die Anmeldeinformationen der Nutzer nicht kompromittiert.
Die Verwaltung der Passkeys läuft über bekannte Dienste: Google Password Manager, Apple iCloud oder Drittanbieter wie 1Password. Branchenbeobachter sehen darin einen weiteren Schritt hin zur sogenannten Zero-Trust-Architektur – einem Sicherheitsmodell, das keinem Nutzer und keinem Gerät automatisch vertraut.
Da allein in Deutschland pro Quartal rund 4,7 Millionen Online-Konten gehackt werden, ist der Umstieg auf sicherere Anmeldeverfahren für Unternehmen und Privatnutzer unumgänglich. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie sich per Fingerabdruck oder Gesichtserkennung sicher, schnell und stressfrei einloggen. Nie wieder Passwörter merken: Jetzt Gratis-Report sichern
Bedrohungslage verschärft sich
Der Zeitpunkt der Umstellung ist kein Zufall. Der Permiso State of Identity Security Report 2026 zeigt: 77 Prozent aller Unternehmen berichten, dass Identitätsdiebstahl inzwischen für mindestens ein Viertel aller Sicherheitsvorfälle verantwortlich ist. Gleichzeitig ist die Transparenz über digitale Identitäten dramatisch gesunken – von 93 auf nur noch 46 Prozent innerhalb eines Jahres.
Hinzu kommen immer professionellere Angriffsmethoden. Sicherheitsforscher von Arctic Wolf Labs beobachten seit April 2026 die PhaaS-Plattform Kali365 (Phishing as a Service). Diese nutzt über 100 schadhafte Hosts, um Dienste wie Microsoft, Okta und AWS nachzuahmen. Ziel: Session-Tokens stehlen und die herkömmliche Zwei-Faktor-Authentifizierung aushebeln.
Wissenslücken bei Administratoren
Die Salesforce Admin Survey 2026 mit über 1.100 Teilnehmern aus 72 Ländern offenbart ein Problem: Sicherheitskompetenz ist die am schlechtesten bewertete Fähigkeit unter Salesforce-Administratoren. 31 Prozent der Befragten klagen über hohe technische Schulden, 59 Prozent sehen die Komplexität der Plattformverwaltung steigen. Das dürfte die Umsetzung der neuen Sicherheitsvorgaben für many Unternehmen zur Herausforderung machen.
