Con gli argomenti espressi in questa risposta , c'è un ritardo di qualche secondo tra l'utente inserisce una password errata e quando lui / lei effettivamente impara, quella password non era corretta. Questa soluzione di sicurezza è implementata in un sistema operativo (qui un sistema operativo elementare ) e in comandi della console come sudo
ecc.
Devo implementare lo stesso meccanismo nel mio sito web o servizio web? O posso facilmente supporre che un tipico ritardo nello scambio di informazioni tra browser e server sarà sufficiente per bloccare gli impatti di forza bruta (in più di un secondo sul sistema locale tra premere il tasto Login
sul mio sito fino a quando un'informazione viene restituita una password errata, questo sembra abbastanza lungo AFAIK).
C'è una domanda simile su questo argomento. Tuttavia, entrambe le risposte ( questo e questo ) non soddisfano la mia domanda o sono anche un po 'fuori tema. Non sto chiedendo la sospensione o il blocco temporale del account dell'utente dopo ogni accesso fallito (e quindi gli argomenti sul locking attacker che impediscono all'utente reale di accedere sono disattivati). Sto parlando solo del possibile ritardo tra la visualizzazione di form di accesso di nuovo.