Danny Weber
Google strammer inn grensene på låseskjermen i Android 17: langsiktige PIN-forsøk går fra 1 800 til bare 19.
Android 17 strammer kraftig inn beskyttelsen av smarttelefoner mot brute-force-angrep, der kriminelle eller spesialverktøy automatisk prøver ulike PIN-koder. Dette scenariet handler ikke bare om tyver etter at en enhet er stjålet; i enkelte tilfeller bruker også politimyndigheter lignende metoder når de forsøker å låse opp beslaglagte telefoner. Nå er handlingsrommet mye mindre.
I Android 16 tillot systemet 10 PIN-forsøk i løpet av det første minuttet, 20 i løpet av de første seks minuttene, 50 etter 25 minutter, 110 på ett døgn og opptil 1 800 forsøk over fem år. Nettopp den langsiktige grensen var viktig for brute-force-verktøy: med nok tid kunne de teste en merkbar del av populære firesifrede kombinasjoner.
I Android 17 er grensene langt strengere. Det er bare seks forsøk i løpet av det første minuttet, sju etter seks minutter, åtte etter 25 minutter, 12 på ett døgn og kun 19 forsøk over fem år. Etter 20 feil inntastinger låses smarttelefonen helt. For automatisk gjetting gjør dette angrepet nesten ubrukelig: verktøyet treffer raskt grensen og kan ikke fortsette.
Selv en firesifret PIN har 10 000 mulige kombinasjoner, men med de nye forsinkelsene og det harde taket på 20 feil blir brute force i praksis meningsløst. Google håndterer også vanlige brukerfeil mer forsiktig: fra Android 16 QPR2 teller ikke systemet flere like feil PIN-inntastinger på rad som separate forsøk. Låseskjermen viser dessuten tydeligere meldinger om gjenværende forsøk og ventetid.
Den nye beskyttelsen erstatter likevel ikke grunnleggende sikkerhetsvaner. Svake PIN-koder som 1234, 0000 eller et fødselsår kan fortsatt gjettes i de første forsøkene, mens tvungen opplåsing med ansikt eller fingeravtrykk fortsatt er en egen risiko. Konklusjonen er enkel: etter Android 17 betyr en lang og uforutsigbar PIN enda mer.
© A. Krivonosov