Android 17 серьёзно усилила защиту смартфонов от brute-force-атак, при которых злоумышленники или специальные инструменты автоматически перебирают PIN-коды. Такие атаки применяются не только преступниками при краже устройств, но и в отдельных случаях правоохранительными структурами при попытке разблокировать изъятые телефоны. Теперь у них будет гораздо меньше пространства для перебора.
В Android 16 система позволяла сделать 10 попыток ввода PIN за первую минуту, 20 — за первые шесть минут, 50 — за 25 минут, 110 — за сутки и до 1800 попыток за пять лет. Именно долгосрочный лимит был важен для brute-force-инструментов: при достаточном времени они могли проверить заметную часть популярных четырёхзначных комбинаций.
В Android 17 лимиты стали намного жёстче. Теперь доступно только шесть попыток за первую минуту, семь — за шесть минут, восемь — за 25 минут, 12 — за сутки и всего 19 попыток за пять лет. После 20 неправильных вводов смартфон полностью блокируется. Для автоматического перебора это почти убивает сценарий атаки: инструмент быстро упирается в предел и больше не может продолжать подбор.
Даже четырёхзначный PIN содержит 10 000 возможных комбинаций, но с новыми задержками и жёстким потолком в 20 ошибок перебор становится практически бесполезным. При этом Android 17 учитывает ошибки аккуратнее для обычных пользователей: если человек дважды подряд ввёл один и тот же неправильный PIN, система не считает это двумя отдельными попытками. На экране блокировки также появились более понятные сообщения о числе оставшихся попыток и времени ожидания.
Тем не менее защита не отменяет базовых правил безопасности. Слабые PIN-коды вроде 1234, 0000 или года рождения всё ещё могут быть угаданы за первые попытки, а принудительная разблокировка по лицу или отпечатку остаётся отдельным риском. Поэтому главный вывод простой: после Android 17 длинный и непредсказуемый PIN стал ещё важнее.