Ho visto il seguente approccio limitante della velocità di accesso utilizzato su un sito web su cui ho lavorato, ma non riesco a capire se è una buona idea:
Dopo ogni tentativo di accesso non riuscito, il sito blocca l'account utente per una frazione di secondo. Quando l'account è bloccato, qualsiasi tentativo di accesso fallirà, anche i tentativi con credenziali corrette. All'utente non viene detto che il loro account è bloccato, solo che il loro login è fallito.
L'idea è che gli utenti reali impiegheranno generalmente più tempo del lockout per reinserire le proprie credenziali (e probabilmente le reinseriranno più lentamente la terza volta se innescano accidentalmente il blocco). Nel frattempo, le password brute-forcing degli hacker avrebbero bloccato il blocco con tentativi di accesso ad alto volume.
Quali sono i problemi con questo approccio?