La mayoría de los servicios y software parecen tener una configuración baja de "ráfaga", como de 3 a 5 intentos de inicio de sesión antes de un autoban temporal por un par de minutos. Especialmente los bancos tienen un límite muy bajo antes de que se deniegue el acceso.
Lo encuentro muy molesto y, cuando es posible, siempre lo configuro para permitir 15 (o más) intentos de inicio de sesión. Mi contraseña no está en el diccionario y es obligatorio forzar la entrada de archivos en menos de 15 intentos. Si tiene varias contraseñas posibles, por ejemplo, al mirar por encima de mi hombro, es probable que aún necesite algunos intentos. En algunos casos, el software benigno intenta automáticamente una serie de inicios de sesión (por ejemplo, Filezilla FTP), lo que hace que ya se active el autoban debido a eso.
Cuando configuro un número mayor de intentos fallidos de inicio de sesión, también lo configuro para prohibirlo por un período más largo (por ejemplo, 24 horas en lugar de unos pocos minutos). Seguramente no es un usuario legítimo, o realmente olvidaron su contraseña y necesitan restablecerla de todos modos.
¿Por qué no hay más sitios web y software que hagan esto por defecto? Por ahora tengo una lista bastante larga (mental) de contraseñas que utilizo. Después de no usar un servicio por un tiempo, puede ser cualquiera de al menos 3 contraseñas diferentes, cada una con 2 o 3 variaciones, y cada variación debe escribirse dos veces para asegurarse de que lo escribió correctamente. Además, los servicios que permiten solo 3 intentos suelen ser también los que imponen contraseñas ridículas (8 caracteres en mayúsculas, minúsculas, dígitos, caracteres especiales, sin espacios, no más de 12 caracteres ... intente recordar qué permutación usó allí para hacer este trabajo).
Lo mismo vale para retrasar los intentos de inicio de sesión, los enrutadores FritzBox son realmente buenos en esto. Un intento fallido es un retraso de 8 segundos, los siguientes 16, los próximos 32 ... realmente genial, excepto que mis dedos gordos podrían terminar obteniéndome un retraso de 16 segundos, mientras que solo tuve dos intentos fallidos. Prefiero que me limite a dos intentos por segundo y salte a 300 segundos de retraso después de 10 intentos.
¿Por qué muchos de los programas de software incluyen solo algunos intentos de inicio de sesión y prohibiciones breves, en lugar de un mayor número de inicios de sesión y una prohibición prolongada? Este último me parece mucho más práctico. ¿Hay alguna razón de seguridad válida detrás de esto, o es simplemente otra de esas prácticas comunes que existen porque tuvieron sentido en algún momento de la historia?