Die Nutzung von Passwörtern unterschiedlicher Komplexität auf Geräteebene ist eine übliche Maßnahme zum Schutz sensibler Unternehmensdaten.
Passwörter wurden in der Regel so komplex gehalten, dass Benutzer.innen beispielsweise das gleiche Passwort nicht mehrfach verwenden konnten. Außerdem mussten Passwörter in der Regel bestimmte Kriterien erfüllen, z. B. eine bestimmte Länge haben.
Mit Android 12 wird Google jedoch einen neuen Rahmen für Passwortrichtlinien einführen, indem die bestehenden „Password Quality APIs“ durch „Password Complexity APIs“ ersetzt werden.
Was sind die Vorteile von Passwortkomplexitäts-APIs?
Bei sehr komplexen Passwörtern ist die Wahrscheinlichkeit größer, dass die Benutzer.innen sie vergessen, was zu einem potenziellen Verlust ihrer persönlichen Daten führt und ein unnötiges Zurücksetzen auf die Werkseinstellungen erforderlich macht. Darüber hinaus sind die APIs für die Kennwortqualität angesichts der Entwicklungen bei der Android-Hardware veraltet und entsprechen nicht mehr den aktuellen Sicherheitsempfehlungen.
Mit den neuen Komplexitäts-APIs werden sogenannte Bucket-basierte Passwortrichtlinien für die Passwörter auf Geräteebene festgelegt. Bucket-basierte Passwortrichtlinien sind quasi vordefinierte Einheiten (hoch, mittel, niedrig oder keine), die eine weniger komplizierte, aber zugleich sichere Passwortkonfiguration ermöglichen.
Die Unternehmenssicherheit wird nicht vernachlässigt. Anhand eines Beispiels erklärt Google, warum die Eingabe eines komplexen Passworts nicht mehr zwingend erforderlich sein muss, um ein Gerät zu entsperren. Standardmäßig verfügen Android-Geräte bereits über eine Funktion auf Hardware-Ebene, die die Eingabe von Passwörtern verlangsamt. Die ersten fünf Versuche können in weniger als einer Sekunde getippt werden. Danach muss zwischen jedem weiteren Versuch 30 Sekunden gewartet werden, und nach dem zehnten Versuch verzehnfacht sich diese Wartezeit jedes Mal. Um ein einfaches Passwort zu erraten, könnte ein böswilliger Akteur also Monate oder sogar Jahre brauchen.
Aber selbst wenn Unternehmen es vorziehen, eine granularere Passwortrichtlinie auf dem Gerät durchzusetzen, wird dies in Android 12 für firmeneigene Geräte vorerst noch möglich sein. Und mit der „Work Security Challenge” können Unternehmen eine granulare Passwortrichtlinie festlegen, die nur für das Arbeitsprofil gilt, d. h. für den Bereich, in dem sich die verwalteten Arbeitsanwendungen befinden. So können ein Standardpasswort für das gesamte Gerät und ein komplexeres Passwort nur für das Unternehmensprofil kombiniert werden.
Weitere Informationen
Mehr Information zu dem Update können Sie in diesem (englischsprachigen) PDF-Artikeln von Google lesen.
Cortado MDM unterstützt auch dieses neue Feature. Cortado MDM können Sie 14 Tage lang kostenlos und unverbindlich testen.