Quante volte un utente malintenzionato deve inserire la stessa password quando esegue un attacco di sincronizzazione comparativa delle stringhe? Suppongo che dovrebbe essere almeno alcune dozzine di volte per fare una media del ritardo di rete, per esempio. Se il numero è significativamente maggiore del numero che un utente normale inserirà, sta controllando il numero di volte in cui una persona inserisce una password un modo efficace per combattere gli attacchi temporali di comparazione delle stringhe? Ad esempio, se i tentativi della stessa password superano 100, allora richiede un CAPTCHA? È più efficiente in termini di risorse rispetto alla semplice verifica dell'intera password?