Quello che stai suggerendo è un limite di tariffa per account: un contatore su un singolo account.

Questo articolo descrive un numero di differenti strategie che probabilmente vorrai utilizzare in parallelo:

• per-source rate-limit: limita la percentuale di tentativi di accesso da un blocco IP o IP a qualsiasi account
• per account limite di velocità: limita il numero di IP che possono tentare di accedere a un determinato account in un determinato periodo.
• limite di velocità globale : limita il numero massimo complessivo di tentativi di accesso da qualsiasi fonte a qualsiasi account

Attenzione - se crei periodi di lockout lunghi come un'ora, per un utente malintenzionato è molto semplice negare il servizio ai tuoi utenti. Tutto quello che devono fare è creare alcuni errori di accesso ogni ora e l'utente non può mai accedere. La combinazione dei limiti di velocità sopra è un approccio migliore.

Altre cose che ti semplificheranno la vita:

• implementa il limite di velocità ovunque che un utente può autenticare: non dimenticare l'endpoint "reimpostazione password" che convalida la vecchia password. È molto comune che le applicazioni valutino il limite della schermata di accesso principale ma lasciano altri endpoint illimitati.

• incoraggiare buone password con un misuratore di entropia (resistenza della password). Forse impone anche una certa forza sul lato server. zxcvbn è eccellente e open source.

L'obiettivo di tale meccanismo di blocco dell'account è limitare il numero di tentativi di password in un periodo di tempo per mitigare gli attacchi di forza bruta. Quindi dovresti pensare a quanti tentativi vuoi permettere in un certo periodo di tempo. Quale soluzione utilizzi non è così importante per la sicurezza.