Android 17 és PIN-védelem: a brute-force eszközök falba ütköznek

Danny Weber

A Google szigorítja az Android 17 zárolási képernyőjének limitjeit: a hosszú távú PIN-próbák száma 1 800-ról 19-re csökken.

Az Android 17 jelentősen erősíti az okostelefonok védelmét a brute-force támadások ellen, amikor bűnözők vagy speciális eszközök automatikusan próbálgatnak különböző PIN-kódokat. Ez a forgatókönyv nemcsak lopott készülékeknél fordulhat elő; bizonyos esetekben a hatóságok is hasonló módszerekkel próbálnak feloldani lefoglalt telefonokat. Most sokkal kevesebb tér marad a próbálkozásra.

Az Android 16 esetében a rendszer az első percben 10 PIN-próbát engedett, az első hat percben 20-at, 25 perc alatt 50-et, egy nap alatt 110-et, öt év alatt pedig akár 1 800 próbálkozást. Ez a hosszú távú limit volt igazán fontos a brute-force eszközöknek: elegendő idővel a népszerű négyjegyű kombinációk érezhető részét végig tudták próbálni.

Az Android 17 jóval szigorúbb határokat vezet be. Az első percben már csak hat próbálkozás lehetséges, hat perc alatt hét, 25 perc alatt nyolc, egy nap alatt 12, öt év alatt pedig mindössze 19 próbálkozás. 20 hibás bevitel után az okostelefon teljesen lezár. Az automatikus próbálgatásnak ez szinte véget vet: az eszköz gyorsan eléri a limitet, és nem tud tovább haladni.

Még egy négyjegyű PIN is 10 000 lehetséges kombinációt jelent, de az új késleltetések és a 20 hibás próbánál meghúzott kemény plafon gyakorlatilag értelmetlenné teszik a brute force módszert. A Google a hétköznapi felhasználói hibákat is óvatosabban kezeli: az Android 16 QPR2 óta, ha valaki egymás után többször ugyanazt a rossz PIN-t írja be, a rendszer ezt nem számolja külön próbálkozásként. A zárolási képernyőn világosabb üzenetek jelennek meg a megmaradt próbákról és a várakozási időről is.

Az új védelem ettől még nem váltja ki az alapvető biztonsági szabályokat. Az olyan gyenge PIN-eket, mint az 1234, a 0000 vagy egy születési év, továbbra is ki lehet találni az első próbák során, az arccal vagy ujjlenyomattal kikényszerített feloldás pedig külön kockázat marad. A tanulság egyszerű: az Android 17 után a hosszú és kiszámíthatatlan PIN még fontosabb.

© A. Krivonosov