Attualmente sto lavorando per ridurre il rischio di blocco degli account di massa in un sito che (sfortunatamente) genera ID utente numerici sequenziali. La modifica della struttura dell'ID utente è non un'opzione a questo punto.
Ho esaminato alcune opzioni (CAPTCHA, Limitazioni sui tentativi di accesso per IP). Uno pensa che sia l'uso di un token anti-CSRF nella pagina di accesso, che richiede a un utente malintenzionato di caricare la pagina di accesso (e ottenere il token) prima di qualsiasi tentativo di accesso. Questo probabilmente verrebbe combinato con un ritardo prima che il token fosse accettato (diversi secondi, il tempo impiegato da un utente normale per inserire i dettagli di accesso).
Questo non impedirebbe il blocco, ma rallenterebbe la velocità dei tentativi e aumenterebbe leggermente la complessità di esecuzione del blocco. Qualcuno ha visto questo usato prima? Funzionerebbe davvero?