Abbiamo implementato nella nostra applicazione mobile un accesso di limitazione della velocità dopo 5 tentativi falliti attraverso un servizio web based (API). Abbiamo bloccato l'account per 30 minuti se sono stati eseguiti i tentativi di cinque.
La mia preoccupazione riguarda i clienti che utilizzano l'app .. e se qualcuno tentasse di eseguire uno script che tentasse di forzare il bruto e mantenere il blocco dei clienti dall'utilizzo dell'applicazione (30 minuti).
C'è una soluzione che può essere applicata in questo caso. Come Captcha non sarà perché è un'applicazione mobile.