ACCOUNT UTENTE
Un criterio di blocco (o l'uso della funzione sleep php) per proteggere un modulo di accesso potrebbe in alcuni casi essere anche peggiore (o molto peggiore) di un attacco di forza bruta, in particolare se l'utente malintenzionato ha accesso ai dati di accesso dell'account utente: ad esempio, nei casi in cui i nomi utente pubblici vengono utilizzati per l'autenticazione, che in generale è male, se evitabile. L'utente malintenzionato potrebbe bloccare gli utenti registrati ancora e ancora (DOS), causando un vero disastro. Non farlo mai su un sito web pubblico.
È probabilmente molto più facile per un utente malintenzionato sfruttare un sistema di blocco degli account basato sui tentativi di accesso, piuttosto che per uno sviluppatore creare uno efficace.
Una soluzione migliore è mantenere le buone pratiche: nascondere quante più informazioni possibili, come al solito, mentre si costringono gli utenti a creare buone password. In questo modo, gli attacchi di forza bruta potrebbero essere totalmente inutili: l'attaccante avrà bisogno di troppe risorse per ottenere qualcosa. In questo scenario, ad esempio, utilizza solo le email per accedere (o qualsiasi altro dato utente che non sia pubblico), mai nomi utente pubblici e mai renderli visibili e raccoglibili da altri utenti o pubblico.
Ma non applicare un criterio di blocco sugli account utente.
IP
Un buon attacco DOS è fatto da molti IP differenti. Detto questo, è possibile applicare un criterio di blocco sul server Web per evitare attacchi DOS e Brute Force rilevando richieste eccessive da un singolo IP (richieste di qualsiasi tipo e non solo su una pagina di accesso o un modulo). Gli hosting condivisi adottano spesso politiche di questo tipo nella mia conoscenza e generalmente non devi preoccuparti troppo di te dato che non puoi cambiarle. Ma se devi configurare un server dedicato, questo può essere un po 'più complicato: questo è un argomento per gli amministratori di server, più degli sviluppatori web. Se usi Apache, potresti essere interessato a qualcosa di simile: link
E: link