Baja frecuencia en un inicio de sesión específico:
Supervise para que después de que x intente un inicio de sesión específico, solo pueda intentarlo después de x segundos / minutos.
Baja frecuencia en un inicio de sesión específico, utilizando CAPTCHA:
Después de las pruebas de x , comience a solicitar un CAPTCHA, tal vez disminuya la velocidad después de que x intente.
Simplemente note que ralentizar algunos intentos usando demoras es casi equivalente a habilitar un ataque DOS contra ese inicio de sesión. Si alguien intenta acceder a su cuenta y falla, terminará agregando un retraso a sus intentos, y usted, el usuario correcto, podría aburrirse.
Baja frecuencia contra inicios de sesión múltiples:
Si la carga general de su servidor aumentó, de manera muy detectable, agregue CAPTCHAs. Si no fue así, su alternativa única será detectar cuántos intentos realizados en su sitio y, nuevamente, tendrá que usar captcha. O agregar un pequeño retraso para todos sus inicios de sesión, y eso no servirá de nada a los usuarios reales ...