- Android 17 führt strenge Limits für PIN‑Fehleingaben ein, insgesamt nur noch 20 Versuche, danach ist Schluss.
- In der ersten Minute sind nur noch 6 Versuche erlaubt, in 6 Minuten 7, in 25 Minuten 8.
- Ziel ist es, das Erraten von PINs massiv zu erschweren, besonders bei Diebstahl.
- Wiederholte Eingaben derselben falschen PIN zählen nur einmal, ein Schutz gegen versehentliche Doppeleingaben.
- Nach dem 20. Fehlversuch wird das Gerät dauerhaft gesperrt, Kontowiederherstellung ist nötig.
1.800 Versuche. Um eine PIN zu erraten.
Das klingt wie eine Zahl aus einem Sicherheits-Albtraum-Szenario. Es war Android-Standard.
Google macht das jetzt anders. Android 17 setzt ein hartes Gesamtlimit: 20 Fehlversuche, danach ist das Gerät dauerhaft gesperrt und muss über das Google-Konto wiederhergestellt werden. Die neuen Limits staffeln sich streng: sechs Versuche in der ersten Minute, sieben in sechs Minuten, acht in fünfundzwanzig Minuten, zwölf in vierundzwanzig Stunden, neunzehn über fünf Jahre. Beim zwanzigsten ist endgültig Schluss.
Warum das sinnvoll ist, erklärt sich aus einer einfachen Realität: Die meisten Menschen wählen keine zufälligen PINs. Sie wählen Geburtsdaten, einfache Zahlenfolgen, häufige Kombinationen. Wer die meistgenutzten PINs kennt, und das ist kein Geheimwissen, solche Listen sind öffentlich zugänglich, hat mit zwanzig Versuchen eine erhebliche Trefferquote. Mit 1.800 Versuchen über fünf Jahre hatte er praktisch unbegrenzte Zeit.
Die neue Logik schließt diese Lücke. Systematisches Durchprobieren wird damit nahezu unmöglich, nicht durch Verschlüsselung oder komplexe Technik, sondern durch ein simples Mengenlimit.
Google hat auch an das Vertippen gedacht. Identische falsche PINs zählen nur einmal. Wer denselben falschen Code zweimal eingibt, verbraucht keinen zweiten Versuch. Das ist eine kleine, aber wichtige Ausnahme, die verhindert, dass Unaufmerksamkeit stärker bestraft wird als Angriffe.
Neu ist auch die Anzeige der Sperrzeiten. Statt „In 1800 Sekunden erneut versuchen" erscheint künftig „In 30 Minuten erneut versuchen". Das klingt trivial. Ist es nicht, wenn man vor einem gesperrten Telefon steht und wissen will, wann man wieder rankommt.
Was die Änderung für Nutzer konkret bedeutet, ist eine erhöhte Verantwortung für die eigene PIN-Wahl. Wer „1234" oder sein Geburtsjahr nutzt und das Gerät einem Dieb überlässt, hat jetzt weniger Puffer. Das war schon vorher keine gute Idee. Jetzt ist es eine schlechte, die schneller Konsequenzen hat.
Und wer seine eigene PIN vergisst? Auch das passiert. Die Google-Konto-Wiederherstellung ist der Weg zurück, aber sie setzt voraus, dass man weiß, wie das Konto heißt, und Zugang zu einem zweiten Gerät hat. Das ist eine Hürde, die in der Praxis manchmal größer ist als sie klingt.
Das ist der Kompromiss, den Android 17 zieht. Mehr Sicherheit gegen Angreifer bedeutet weniger Spielraum für Vergessliche. Das ist keine neue Erkenntnis in der IT-Sicherheit, sie ist so alt wie Passwörter selbst.
Zwanzig Versuche ist eine Zahl, bei der beides möglich bleibt: Schutz vor systematischen Angriffen, und ein kleiner Puffer für menschliche Fehler.
Ob das die richtige Balance ist, merkt man vermutlich erst, wenn man das zwanzigste Mal die falsche PIN eingibt.
In dem Moment wünscht man sich die 1.800 zurück.
Kommentare
Kommentar veröffentlichen
Kommentar