Necesito limitar los intentos de inicio de sesión.
Una opción es contar los intentos por dirección IP y luego bloquear la IP. La desventaja es que diferentes usuarios pueden tener la misma dirección IP. Otra opción es limitar por un identificador de cuenta (nombre de usuario o correo electrónico) y luego bloquear la cuenta (puede ser activada manualmente por soporte). La única desventaja que se me ocurre es que los usuarios malintencionados pueden adivinar los nombres de usuario y bloquearlos ... Pero aparte de eso, se siente más seguro porque los usuarios malintencionados pueden usar diferentes IP, ¿no?
¿Cuál es la forma recomendada de hacerlo?