Editar: Como me piden que aclare esta pregunta, la expresaré en una oración: ¿Cuál es una buena política de bloqueo para las aplicaciones web, por qué, de qué depende?
Es difícil encontrar una mejor práctica con respecto a las políticas de bloqueo de cuentas. Windows sugiere bloquear una cuenta después de 4 a 10 intentos fallidos
PCI utiliza los siguientes criterios mínimos:
- Las cuentas de usuario se bloquean temporalmente después de no más de seis intentos de acceso inválidos
- Una vez que una cuenta de usuario está bloqueada, permanece bloqueado por un mínimo de 30 minutos o hasta que un sistema administrador restablece la cuenta.
Drupal tiene los siguientes valores predeterminados que aún se utilizan en la actualidad:
Drupal 7 evita los ataques de fuerza bruta en las cuentas. Bloquea el inicio de sesión b y un usuario que tiene más de 5 intentos fallidos de inicio de sesión (dentro de las seis horas) o una dirección IP que tiene más de 50 intentos fallidos de inicio de sesión (dentro de una hora).
¿Alguien tiene otras mejores prácticas que pueda agregar? Me gustaría tener una discusión abierta sobre el tema e intentar encontrar un conjunto de pautas para una política de bloqueo decente que equilibre la seguridad, la facilidad de uso y la denegación de servicio.