AFAIK la práctica recomendada para mitigar los ataques de fuerza bruta es bloquear una cuenta durante, por ejemplo, 15 minutos (¿tal vez aumentar el tiempo de bloqueo si el ataque continúa después?) después de, digamos, 5 intentos de inicio de sesión fallidos.
Entiendo el razonamiento (mitigación de la fuerza bruta) pero todavía hay una cosa que me preocupa. Es decir, ¿esto no hace que el sitio sea vulnerable a bloqueos de cuentas maliciosas?
Versión menos severa: a un troll pequeño no le gusta el usuario X, por lo que ingresan una contraseña trivialmente incorrecta para la cuenta X 5 veces seguidas. Repita después de 15min.
Versión más severa: ataque completo de DOS, ataque automatizado de "fuerza bruta" contra los usuarios recientemente activos del sitio web únicamente con el propósito de desencadenar el mecanismo de bloqueo. Digamos que el sitio web tiene alrededor de 1000 conexiones por día; ataque contra usuarios que iniciaron sesión la semana pasada = en la mayoría de las 7000 cuentas, mucho menos en realidad, digamos solo 3500; 5 intentos de inicio de sesión = 17500 intentos de inicio de sesión, no lo sé pero esto parece definitivamente factible, ¿no es así? Y ese ya es un sitio bastante popular: para los sitios web más vulnerables a tales ataques (¿foros de Internet?) ¡Estos números pueden ser incluso dos órdenes de magnitud menores!
No entiendo esta práctica. ¿No mitiga los ataques de descifrado de contraseñas de fuerza bruta al costo de abrir vulnerabilidades evidentes a los ataques de DOS?