Цифрова незалежність з оновленням Immich 3.0
Кардинальне посилення безпеки доступу в Android 17

Проблема брутфорсу — або автоматизованого перебору комбінацій — залишається однією з головних загроз для локальних даних на смартфонах. Раніше Android демонструвала вражаючу толерантність до помилок: система допускала до 1800 невдалих спроб введення PIN-коду протягом п'яти років. З точки зору безпеки така «щедрість» була критичною вразливістю, оскільки дозволяла зловмисникам, які володіють базовою інформацією про користувача (наприклад, датою народження), ефективно звужувати коло пошуку та підбирати пароль методом виключення.
В Android 17 концепція доступу переосмислюється фундаментально. Замість одного глобального ліміту впроваджується багаторівнева система часових вікон, що робить масовий перебір практично безглуздим. Тепер користувач може здійснити лише шість спроб у першу хвилину, сім — за шість хвилин і вісім — за 25 хвилин. У масштабі доби ліміт обмежений дванадцятьма введеннями, а загальний поріг за п'ять років скорочено до критичних двадцяти спроб. Після двадцятого некоректного введення пристрій блокується остаточно, що фактично перетворює смартфон на «цеглину» для будь-кого, хто намагається зламати його методом перебору.
Для порівняння варто розглянути Android 16, де ліміти були значно м'якшими: до 110 спроб на добу та ті самі 1800 за п'ятирічний період. Різкий перехід до жорстких квот свідчить про прагнення Google мінімізувати ризики соціальної інженерії та автоматизованих атак, де час стає головним союзником захисника.
Однак таке радикальне посилення могло призвести до масових блокувань легітимних власників, які просто забули свій код або кілька разів поспіль помилилися в цифрі. Щоб уникнути цього, Google запровадила інтелектуальний фільтр повторюваних помилок. Якщо користувач кілька разів вводить один і той самий неправильний PIN-код, система розпізнає це як випадкову помилку або забудькуватість. Такі спроби ігноруються і не зараховуються до загального ліміту, при цьому на екрані з'являється повідомлення, що пояснює, чому введення не було враховано.
Паралельно з технічними обмеженнями було проведено роботу над користувацьким інтерфейсом. Технічні повідомлення про затримки, які раніше виглядали як сухі звіти (наприклад, вимога повторити спробу через 1800 секунд), замінені на зрозумілі людині формулювання («через 30 хвилин»). Крім того, на екран блокування додано прямий ярлик для відновлення облікового запису з іншого довіреного пристрою. Це створює необхідний «запобіжник», дозволяючи власнику повернути доступ до даних, не вдаючись до повного скидання пристрою, що неминуче призводить до втрати всієї локальної інформації.

