Poiché un indirizzo IP non rappresenta necessariamente un dispositivo specifico, ma probabilmente un'intera rete / azienda / ecc. ha senso bloccare un indirizzo IP se c'è una quantità significativa di tentativi di login falsi?
Stavo pianificando di implementare il controllo IP e di cercare un utente / account / email specifico, ma non sono sicuro che sia meglio lasciare il checkout IP completamente quindi.
D'altro canto questo consente a un utente malintenzionato di tentare praticamente una quantità specifica di password per ogni utente senza mai essere bannato (bloccando allo stesso tempo quegli utenti dall'essere in grado di accedere dal loro gli account saranno bloccati per un po 'di tempo).
Qual è l'approccio corretto per prevenire qualcosa di simile (eventualmente senza usare hardware dedicato)?