Android 17 a ochrana PINu: brute-force nástroje narážejí na zeď

Danny Weber

Google zpřísňuje limity zamykací obrazovky v Androidu 17: dlouhodobý počet pokusů o PIN klesá z 1 800 na pouhých 19.

Android 17 výrazně posiluje ochranu smartphonů proti brute-force útokům, při kterých útočníci nebo specializované nástroje automaticky zkoušejí různé PIN kódy. Tento scénář se netýká jen zlodějů po krádeži zařízení; v některých případech podobné metody používají také orgány činné v trestním řízení při pokusech o odemčení zabavených telefonů. Teď je pro hádání mnohem méně prostoru.

V Androidu 16 systém povoloval 10 pokusů o PIN během první minuty, 20 během prvních šesti minut, 50 za 25 minut, 110 za den a až 1 800 pokusů během pěti let. Právě dlouhodobý limit byl pro brute-force nástroje zásadní: s dostatkem času mohly otestovat znatelnou část oblíbených čtyřmístných kombinací.

V Androidu 17 jsou limity mnohem přísnější. K dispozici je jen šest pokusů během první minuty, sedm za šest minut, osm za 25 minut, 12 za den a pouze 19 pokusů během pěti let. Po 20 chybných zadáních se smartphone úplně zablokuje. Pro automatické zkoušení kombinací to útok téměř zabíjí: nástroj rychle narazí na hranici a nemůže pokračovat.

I čtyřmístný PIN má 10 000 možných kombinací, ale nové prodlevy a tvrdý strop 20 chyb dělají z brute force prakticky zbytečnou metodu. Google zároveň opatrněji pracuje s běžnými chybami uživatelů: od Androidu 16 QPR2 systém nepočítá několik stejných chybných zadání PINu za sebou jako samostatné pokusy. Zamykací obrazovka navíc ukazuje jasnější zprávy o zbývajících pokusech a čekací době.

Nová ochrana ale nenahrazuje základní bezpečnostní pravidla. Slabé PINy jako 1234, 0000 nebo rok narození lze stále uhodnout v prvních pokusech a vynucené odemčení obličejem nebo otiskem prstu zůstává samostatným rizikem. Závěr je jednoduchý: po Androidu 17 je dlouhý a nepředvídatelný PIN ještě důležitější.

© A. Krivonosov