Lo que estás sugiriendo es un límite de tasa por cuenta: un contador en una cuenta individual.

Este artículo describe una serie de diferentes estrategias que probablemente querrás emplear en paralelo:

• por fuente tasa límite: limita la tasa de intentos de inicio de sesión de una IP o bloqueo de IP a cualquier cuenta
• por cuenta límite de velocidad: limita el número de IP que pueden intentar iniciar sesión en una cuenta en particular en un período determinado.
• límite de velocidad global : limita el número máximo general de intentos de inicio de sesión de cualquier fuente a cualquier cuenta

Cuidado : si crea largos periodos de bloqueo en una hora, hace que sea muy fácil para un atacante denegar el servicio a sus usuarios. Todo lo que tienen que hacer es crear algunos errores de inicio de sesión cada hora y el usuario nunca podrá iniciar sesión. La combinación de los límites de tasa anteriores es un mejor enfoque.

Otras cosas que harán tu vida más fácil:

• implemente el límite de velocidad en todas partes que un usuario puede autenticar, no olvide el punto final de "restablecimiento de contraseña" que valida la contraseña anterior. Es muy común que las aplicaciones limiten la velocidad de la pantalla de inicio de sesión principal pero dejan otros puntos finales ilimitados.

• fomente las buenas contraseñas con un medidor de entropía (fortaleza de la contraseña). Tal vez incluso imponer una cierta fuerza del lado del servidor. zxcvbn es excelente y de código abierto.

El objetivo de este mecanismo de bloqueo de cuenta es limitar el número de intentos de contraseña en un período de tiempo para mitigar los ataques de fuerza bruta. Así que debes pensar en cuántos intentos quieres permitir en un cierto marco de tiempo. ¿Qué solución utilizas no es tan importante para la seguridad?