В стабильной версии Android 17 ужесточили ограничения на подбор PIN-кода и пароля на экране блокировки. Прежде допускалось до 1800 неверных попыток за пять лет – теперь предельное число снижено до 20, после чего ввод блокируется полностью. Изменение впервые появилось в Android 16 QPR2 на смартфонах Pixel, а с выходом Android 17 распространяется на остальные устройства. Одновременно выросли паузы между неудачными попытками, а повторный ввод одного и того же неверного кода перестал засчитываться в лимит.
Лимиты подбора: 20 попыток вместо 1800 за пять лет
Прежние версии Android относились к подбору кода снисходительно. Android 16 допускал до 10 попыток в первую минуту, 20 в пределах шести минут, 50 за 25 минут, 110 за сутки и до 1800 за пять лет. Новая политика сокращает эти значения в несколько раз, а между сериями неудачных вводов паузы становятся длиннее.
По данным технического разбора, опубликованного Мишалом Рахманом, на поддерживаемых устройствах применяются следующие ограничения:
| Временное окно | Прежний лимит | Новый лимит |
|---|---|---|
| Первая минута | 10 | 6 |
| 6 минут | 20 | 7 |
| 25 минут | 50 | 8 |
| 24 часа | 110 | 12 |
| 5 лет | 1800 | 19 |
После 20 неверных попыток дальнейший ввод не разрешается – это жёсткий предел, которого в прежних версиях не было.
Атака полным перебором – способ подбора PIN-кода или пароля, при котором последовательно проверяются все возможные комбинации. Чем больше попыток допускает система и чем короче паузы между ними, тем выше шансы на успех.
Расчёт атак на распространённые PIN-коды
В Google объясняют, что прежние лимиты оставляли простор для перебора: многие выбирают не случайные, а распространённые PIN-коды и пароли. Тот, кто знает личные данные владельца – дату рождения или годовщину, – повышает шансы, подставляя в первую очередь популярные комбинации. Снижение числа допустимых попыток обесценивает такой подход: угадать код за 20 попыток намного сложнее, чем за 1800.
Исключение для повторного ввода одного кода
Законный владелец тоже может забыть PIN-код или пароль. Для таких случаев в Android 17 добавлено исключение: если один и тот же неверный код вводится несколько раз подряд, повторы не засчитываются в лимит попыток. Вместо этого на экране появляется отдельное уведомление с пояснением, почему попытка не учтена.
Читаемые интервалы блокировки и восстановление доступа
Изменилось и то, как экран блокировки показывает время ожидания при длительных блокировках. Вместо крупного обратного отсчёта в секундах используются более понятные единицы: «Повторите попытку через 30 минут» вместо «Повторите попытку через 1800 секунд».
На экран блокировки также добавлен ярлык, который помогает быстро перейти к восстановлению доступа к аккаунту с другого устройства.
Заключение
Ужесточение лимитов заметнее всего скажется на ситуации, когда телефон попал в чужие руки: подобрать код перебором стало практически невозможно. Для законного владельца риск случайной блокировки снижен за счёт исключения повторных вводов и более понятных сообщений о времени ожидания. Функция уже действует на Pixel и по мере обновления доходит до остальных смартфонов на Android 17.