Android 17 ने स्मार्टफोन सुरक्षा को brute-force हमलों के खिलाफ काफी सख्त कर दिया है, जहाँ अपराधी या विशेष टूल अपने आप अलग-अलग PIN codes आज़माते हैं। यह तरीका सिर्फ चोरी हुए डिवाइस तक सीमित नहीं है; कुछ मामलों में कानून प्रवर्तन एजेंसियाँ भी जब्त किए गए फोन को अनलॉक करने के लिए मिलते-जुलते तरीकों का इस्तेमाल करती हैं। अब अनुमान लगाने की गुंजाइश बहुत कम रह गई है।
Android 16 में सिस्टम पहले मिनट में 10 PIN प्रयास, पहले छह मिनट में 20, 25 मिनट में 50, एक दिन में 110 और पाँच साल में अधिकतम 1,800 प्रयास करने देता था। brute-force टूल के लिए सबसे अहम यही लंबी अवधि वाली सीमा थी: पर्याप्त समय मिलने पर वे लोकप्रिय चार अंकों वाले संयोजनों का बड़ा हिस्सा जाँच सकते थे।
Android 17 में सीमाएँ कहीं ज्यादा कड़ी हो गई हैं। पहले मिनट में सिर्फ छह प्रयास, छह मिनट में सात, 25 मिनट में आठ, एक दिन में 12 और पाँच साल में केवल 19 प्रयास उपलब्ध हैं। 20 गलत इनपुट के बाद स्मार्टफोन पूरी तरह लॉक हो जाता है। अपने आप PIN आज़माने वाले हमलों के लिए यह लगभग दीवार जैसा है: टूल जल्दी ही सीमा पर पहुँच जाता है और आगे नहीं बढ़ पाता।
चार अंकों वाले PIN में भी 10,000 संभावित संयोजन होते हैं, लेकिन नई देरी और 20 गलतियों की सख्त सीमा brute force को व्यवहार में लगभग बेकार बना देती है। Google सामान्य उपयोगकर्ता गलतियों को भी ज्यादा सावधानी से संभाल रहा है: Android 16 QPR2 से, अगर कोई व्यक्ति लगातार वही गलत PIN कई बार डालता है, तो सिस्टम उन्हें अलग-अलग प्रयास नहीं मानता। लॉक स्क्रीन अब बचे हुए प्रयासों और इंतजार के समय को लेकर ज्यादा साफ संदेश भी दिखाती है।
फिर भी नई सुरक्षा बुनियादी सुरक्षा नियमों की जगह नहीं लेती। 1234, 0000 या जन्म वर्ष जैसे कमजोर PIN अब भी शुरुआती प्रयासों में अनुमान लगाए जा सकते हैं, और चेहरे या फिंगरप्रिंट से जबरन अनलॉक कराना अलग जोखिम बना रहता है। निष्कर्ष सीधा है: Android 17 के बाद लंबा और अप्रत्याशित PIN और भी जरूरी हो गया है।