Android 17 のロック画面における PIN やパスワードの試行回数制限が、大幅に厳格化されていることが明らかになりました。
これは Google の Mishaal Rahman 氏が共有した AOSP (Android Open Source Project) の公式ドキュメントと説明によるもので、PIN やパスワードを繰り返し入力して不正にロックを解除しようとする行為は、これまでよりはるかに難しくなります。
試行回数の上限が 5 年で 20 回に
Android の画面ロックには、誤入力が続いた際に一定時間の待機を挟むレート制限の仕組みが以前から備わっています。Android 16 までは、次のような回数の試行が許容されていました。
- Android 16 までの上限回数
- 1 分間に 10 回
- 6 分間に 20 回
- 25 分間に 50 回
- 24 時間で 110 回
- 5 年間で 1,800 回
一方、Android 16 QPR2 で導入された新しいポリシーは Android 17 にも引き継がれており、上限は次のように大幅に引き下げられています。
- Android 16 QPR2 以降の上限
- 1 分間に 6 回
- 6 分間に 7 回
- 25 分間に 8 回
- 24 時間で 12 回
- 5 年間で 19 回
20 回目の誤入力以降は、それ以上の試行そのものができなくなります。この変更は、多くの人が誕生日や記念日など推測しやすい PIN やパスワードを選びがちだという理由によるものです。
攻撃者が使用頻度の高い組み合わせから順に試したり、持ち主に関する情報を利用したりすれば、従来の上限では突破される可能性があるため、Google は試行回数そのものを絞り込むことで対策を強化しました。
重複した誤入力は回数にカウントされない
誤入力の上限が厳しくなった一方で、ユーザーが PIN やパスワードをうっかり間違えるケースへの対策として、Android 16 QPR2 以降では、同じ誤った PIN やパスワードを連続して入力した場合、2 回目以降の重複入力は失敗回数としてカウントされません。
この場合、ロック画面には重複入力であることを知らせる専用のメッセージが表示され、なぜ回数が加算されなかったのかをその場で確認できます。
ロック画面の表示も分かりやすく改善
間違って入力したあと、従来はロック画面に「1800 秒後に再試行してください」のように秒数がそのまま表示されていましたが、Android 17 では 1 分以上の待機時間については「30 分後に再試行してください」のように、より読み取りやすい時間の単位で表示されるようになりました。
また、ロック画面には別のデバイスからアカウントの復旧手続きを行うためのショートカットも新たに表示されるようになったため、PIN やパスワードを本当に忘れてしまった場合でも、復旧オプションへすぐにアクセスできるようになりました。








