Google omezil pokusy o PIN na 20. Kdo překročí limit, telefon nepoužije

Google omezil pokusy o PIN na 20. Kdo překročí limit, má z telefonu nepoužitelnou cihlu

Dvacet špatných pokusů o PIN, vzor nebo heslo, a zamykací obrazovka Androidu už nepřijme jediný další. Návrat vede přes vymazání telefonu.

i Zdroj fotografie: Santeri Viinamäki - licence CC BY SA 4.0
                   

Ještě nedávno měl útočník s ukradeným telefonem k dispozici stovky až tisíce pokusů o uhádnutí zámku. Stará bezpečnostní politika Androidu dovolovala za pět let zadat až 1 800 různých kombinací, a protože lidé volí předvídatelné PINy (studie citovaná přímo v dokumentaci Googlu uvádí 16,2% úspěšnost po pouhých sto pokusech), šance na prolomení nebyla zanedbatelná. To se teď mění. Google v technické dokumentaci AOSP aktualizované 17. června 2026 nasadil tvrdý strop: po dvacáté unikátní chybě je konec. Žádný další pokus, žádný odpočet. A cesta zpět k datům existuje jen přes zálohu, pokud vůbec nějaká je.

Dvacet pokusů zní hodně. Ve skutečnosti je to mnohem méně

Číslo dvacet vypadá komfortně, jenže systém nezačíná trestat až u dvacátého pokusu. Nová politika zpřísňuje celou eskalační křivku:

  • 6 pokusů za první minutu, pak minutová pauza
  • 7 pokusů do 6 minut
  • 8 pokusů do 25 minut
  • 12 pokusů do 24 hodin
  • 19 pokusů do 5 let
  • 20. pokus – definitivní konec, žádný další timeout, žádná šance

Jinými slovy: kdo se po desátém špatném pokusu nevzpamatuje, čeká čtyři hodiny. Po patnáctém pokusu je to 41 dní. A devatenáctý pokus od dvacátého dělí devět let čekání, které systém stejně nepustí, protože dvacátý pokus zamkne obrazovku natrvalo.

Google navíc přidal detekci duplicitních pokusů. Když zadáte stejný špatný PIN dvakrát po sobě, na podporovaných zařízeních se druhý pokus do limitu nezapočítá. Ochrana míří na scénář, kdy dítě opakovaně mačká stejnou kombinaci. Pokud ale zkoušíte různé kódy, každý se počítá.

„Cihla“ není cihla, ale data jsou pryč

Označení „nepoužitelná cihla“ je mediální zkratka. Telefon se fyzicky nepoškodí, hardware funguje dál. Co ale přestane fungovat, je jakákoli lokální cesta k odemčení. Zamykací obrazovka zobrazí odkaz na obnovu, oficiální podpora Googlu při nemožnosti odemčení směřuje k jedinému řešení: vymazání zařízení a novému nastavení.

Po factory resetu lze obnovit to, co bylo synchronizované do Google účtu: kontakty, fotky v Google Photos, zálohy aplikací, zprávy. Vše ostatní (lokální soubory, nepřenesené fotky, herní postupy bez cloudového uložení) zmizí. Telefon na dálku smaže i služba Find Hub, pokud je zařízení online, ale i po vzdáleném resetu je pro opětovné zprovoznění nutné heslo ke Google účtu.

Podle nás je právě tohle největší riziko pro běžného uživatele. Ne samotný limit dvaceti pokusů, ale kombinace zapomenutého PINu, neaktuální zálohy a mylné představy, že „když je to můj telefon, nějak se do něj pak dostanu“. Nedostanete.

Dvě věci, které se pletou: systémový strop a přepínač v nastavení

V médiích se směšují dvě odlišné funkce. Je důležité je oddělit.

Systémové rate-limiting je tvrdý 20pokusový strop zabudovaný přímo do zamykací obrazovky na úrovni AOSP. Google u něj veřejně neukazuje uživatelský vypínač. Při nastavení nového PINu nebo vzoru se počítadlo resetuje.

Failed Authentication Lock je samostatný přepínač v menu Nastavení → Google → Všechny služby → Ochrana proti krádeži. Patří do širšího balíku Theft Protection, kam spadá i detekce krádeže pohybem, zamčení offline zařízení nebo vzdálený zámek. Tento přepínač může být na některých zařízeních zašedlý, to znamená, že ho daný model nebo verze systému nepodporuje.

Obě vrstvy spolu souvisejí, ale nejsou totéž. Systémový strop je infrastruktura, přepínač je nadstavba.

Koho se to týká a jak je na tom Česko

Google pracuje s formulací „podporovaná zařízení“ a konkrétní seznam modelů nezveřejnil. Nová pravidla mají být ve výchozím stavu zapnutá na zařízeních s Androidem 17, na čerstvě resetovaných telefonech a na těch, které dostanou upgrade na nejnovější verzi systému. Pro starší zařízení s Androidem 10 a výše Google rozšiřuje ochranu ve vybraných trzích, výslovně jmenuje Argentinu, Chile, Kolumbii, Mexiko, Peru a Velkou Británii. Česko v seznamu nefiguruje.

To ale neznamená, že se českých uživatelů změna netýká. Na tuzemském trhu se od března 2026 prodává řada Samsung Galaxy S26 i Galaxy A56 5G, obě s Androidem 16 a manuály odkazujícími na odpovídající systémovou větev. Zda je na nich 20pokusový strop už aktivní, závisí na konkrétním updatu; ověřit to lze právě v menu Ochrana proti krádeži.

Pro srovnání: Apple u iPhonu nastavil limit na 10 chybných pokusů. Po jejich vyčerpání musí uživatel zařízení obnovit přes počítač, případně přímo ze zamykací obrazovky přes tok „Zapomenuté heslo“. Volitelná funkce Erase Data telefon po desátém pokusu rovnou smaže. Počtem pokusů je Apple přísnější, ale princip je stejný: bez zálohy jsou data pryč.

Co udělat ještě dnes

Praktický checklist zabere dvě minuty:

  • Odemkněte telefon ručně PINem, ne otiskem, ne obličejem. Ověřte, že kód znáte.
  • Zkontrolujte, jestli nemáte PIN typu 1234 nebo datum narození.
  • Otevřete Nastavení → Google → Zálohování a ověřte, že záloha běží a je aktuální.
  • Podívejte se do Ochrana proti krádeži, jaké přepínače máte k dispozici.
  • Mějte po ruce heslo ke Google účtu, bez něj telefon po resetu nezprovozníte.

Dvacet pokusů je dost na to, aby legitimní majitel svůj PIN zadal správně. A málo na to, aby ho zloděj uhádl. Problém nastane ve chvíli, kdy legitimní majitel svůj PIN nezná, a zjistí to až ve chvíli, kdy je pozdě.

Diskuze Vstoupit do diskuze
Autor článku

Lukáš Jírovec

Zobrazit další články