Credo che dovrebbe essere più avanzato e dovrebbe prendere in considerazione l'origine delle richieste per prevenire il DOS.
Il più comune è un blocco dopo un certo numero di tentativi, ma ciò richiede una buona procedura di sblocco che sia sicura. Molti siti richiedono un captcha o un secondo fattore dopo una certa quantità di tentativi.
Combina sempre il blocco o la limitazione con una politica di password complessa. Quante volte un aggressore deve indovinare in base a tale politica? Questo è un fattore importante nella progettazione di un meccanismo di blocco / limitazione.
Un buon approccio per proteggere un accesso potrebbe essere:
- Criterio password strong
- Captcha dopo 5 tentativi falliti di un determinato utente da un determinato IP entro 10 minuti.
- IP della lista nera o attivazione di un avviso dopo 100 tentativi falliti da un determinato IP.