Google Android チームのエンジニアは最近、Android 17 で実装されたより厳格なロック解除パスワード試行制限についてツイートしました。この制限は主に、泥棒などが異なる PIN コードを入力してデバイスのロックを解除しようとするのを防ぐために使用されます。より厳格な制限が導入されるということは、犯罪者が推測してロックを解除することがより困難になることを意味します。これにより、デバイスのセキュリティが向上します。もちろん、Google はユーザー エクスペリエンスの問題ともバランスを取ろうとしています。結局のところ、ユーザーによっては自分自身のパスワードを忘れてしまうことがよくあるのです。

HMFhNugbgAAxLJ8.jpg

Android 17 で実装されたレート制限のロックを解除します。

Android 16 では、Google ではユーザーが 1 分間に 10 回(つまり、10 回すべてが間違っていました。エラーが正しければエラーは繰り返されません)、6 分間に 20 回、25 分間に 50 回、24 時間に 110 回ロック解除を試みることができます。このレート制限は、ランダムに選択された PIN に対しては十分安全ですが、ユーザーが完全にランダムなパスワードを使用するわけではないことは明らかであり、誕生日などをパスワードとして使用するユーザーもかなりの数になる可能性があります。

犯罪者がユーザーの情報の一部を事前に知っている場合、デバイスのロックを解除する推測の成功率が高まる可能性があるため、Google は Android 17 でより厳しいレート制限を実装します (実際に実装されるのは Android 16 QPR2 からです)。 1分で5回、5分で6回、15分で7回、30分で8回、12時間で11回挑戦できます。

ここで挙げる試行回数はすべて連続エラーです。たとえば、極端なケースでは、犯罪者が常に間違ったパスワードを入力し続けた場合、20 回連続してエラーが発生すると Android システムがロックされ、ロックを解除できなくなります。

20 回連続してエラーが発生すると、ユーザーはロックアウトされますか?

可能性はありますが、比較的低いです。 Google の設定によると、間違ったパスワードを 20 回連続して入力すると、Android システムがロックされ、ロックを解除できなくなります。ただし、ユーザーは短時間に連続してパスワードを入力できないことを知っておく必要があります。間違った入力をするたびに待つ必要があります。長く行けば行くほど、待ち時間も長くなります。たとえば、間違ったパスワードを 20 回連続して入力した場合、それが完了するまでに非常に長い時間がかかることがあります。

したがって、この制限は通常、ほとんどのユーザーにとって問題を引き起こすことはありません。結局のところ、Google は Google アカウントをバインドするときにパスワードを取得するオプションも提供しています。したがって、何度も連続してエラーが発生した後、ユーザーはパスワードを再試行せず、デバイスのロックを解除する別の方法を探すと推定されます。

同じ間違ったパスワードを入力してもカウントされません。

Android エンジニアは非常に慎重に検討したと言わざるを得ません。上記の間違ったパスワードのカウントでは、ユーザーが同じ間違ったパスワードを試みた場合、それは 1 回だけカウントされます。たとえば、最初に入力したパスワードが間違っていて、ユーザーが 6 回目にパスワードを再試行した場合、これら 2 回の入力は 1 回だけカウントされます。したがって、同じ間違ったパスワードを入力し続けてもシステムが直接ロックされることはありませんが、次の入力でロックが解除されるまでに長時間待たなければならない場合があります。

最後に、Google はロック インターフェースのコピーライティング プロンプトも最適化しました。以前は、再度ロックを解除するまでに 1800 秒程度の時間が表示されていましたが、現在は 30 分程度の再試行時間が表示されるようになりました。これにより、ユーザーはどれくらい待つ必要があるか一目でわかり、時間を計算するために電卓を使用する必要がなくなります (たとえば、18 回連続してエラーが発生した場合の待ち時間は 3 年 / 94608000 秒です)。