Creo que debería ser más avanzado y debería tener en cuenta el origen de las solicitudes para evitar DOS.
Lo más común es un bloqueo después de varios intentos, pero esto requiere un buen procedimiento de desbloqueo que sea seguro. Muchos sitios requieren un captcha o un segundo factor después de una cierta cantidad de intentos.
Siempre combine el bloqueo o la regulación con una política de contraseña segura. ¿Con qué frecuencia tendrá que adivinar un atacante basándose en esa política? Ese es un factor importante en el diseño de un mecanismo de bloqueo / regulación.
Un buen enfoque para proteger un inicio de sesión podría ser:
- Política de contraseñas seguras
- Captcha después de 5 intentos fallidos para un determinado usuario desde una determinada IP en 10 minutos.
- Haga una lista negra de IP o active una alerta después de 100 intentos fallidos de una IP determinada.