La maggior parte dei software e dei servizi sembrano avere impostazioni "burst" basse, come da 3 a 5 tentativi di accesso prima di un'autoban temporaneo per un paio di minuti. Soprattutto le banche hanno un limite molto basso prima che l'accesso venga negato.
Lo trovo molto fastidioso e, quando possibile, l'ho sempre impostato per consentire 15 (o più) tentativi di accesso. La mia password non è dizionario e la forzatura bruta in meno di 15 tentativi è fuori questione. Se hai un numero di password che è possibile, ad esempio guardandomi alle spalle, probabilmente avrai ancora bisogno di parecchi tentativi. In alcuni casi, il software benigno tenta automaticamente un numero di accessi (ad esempio Filezilla FTP), facendoti innescare l'autoban già per questo.
Quando si configura un numero maggiore di tentativi di accesso non riusciti, lo configuro anche per un periodo più lungo (ad esempio 24 ore anziché pochi minuti). Sicuramente non è un utente legittimo, o ha davvero dimenticato la sua password e deve comunque resettare.
Perché non più siti Web e software lo fanno di default? Ormai ho una lunga lista (mentale) di password che uso. Dopo non aver usato un servizio per un po ', potrebbe essere una delle almeno 3 password diverse, ognuna con 2 o 3 varianti, e ogni variazione deve essere digitata due volte per essere sicura di averlo digitato correttamente. Inoltre, i servizi che consentono solo 3 tentativi sono di solito anche quelli che impongono password ridicole (8 caratteri maiuscoli, minuscoli, cifre, caratteri speciali, senza spazi, non più lunghi di 12 caratteri ... prova a ricordare quale permutazione hai usato lì per fare questo lavoro).
Lo stesso vale per il ritardo dei tentativi di accesso, i router FritzBox sono davvero bravi in questo. Un tentativo fallito è di 8 secondi, i successivi 16, i successivi 32 ... davvero grandiosi, tranne che le mie dita grasse potrebbero finire per farmi un ritardo di 16 secondi mentre ho avuto solo due tentativi falliti. Preferirei che mi limiti a due tentativi al secondo e salta a 300 secondi di ritardo dopo 10 tentativi.
Perché un numero elevato di software prevede solo pochi tentativi di accesso e divieti brevi, invece di un numero maggiore di accessi e un lungo divieto? Quest'ultimo aspetto mi sembra molto più pratico. C'è qualche valido motivo di sicurezza dietro questo, o è solo un'altra di quelle pratiche comuni che sono lì perché avevano senso in qualche punto della storia?