He visto el siguiente enfoque de límite de velocidad de inicio de sesión utilizado en un sitio web en el que trabajé, pero no puedo averiguar si es una buena idea:
Después de cualquier intento fallido de inicio de sesión, el sitio bloquea la cuenta de usuario por una fracción de segundo. Cuando la cuenta está bloqueada, cualquier intento de inicio de sesión fallará, incluso los intentos con las credenciales correctas. No se le dice al usuario que su cuenta está bloqueada, solo que su inicio de sesión falló.
La idea es que los usuarios reales generalmente tomarán más tiempo que el tiempo de bloqueo para volver a ingresar sus credenciales (y probablemente los volverán a ingresar más lentamente la tercera vez si activan accidentalmente el bloqueo). Mientras tanto, las contraseñas forzadas a los piratas informáticos podrían bloquear el bloqueo con intentos de inicio de sesión de gran volumen.
¿Cuáles son los problemas con este enfoque?