Zgadzam się z OP. Jeśli myślisz o tym, przed czym chroni Cię blokada, nie ma różnicy między 3 a 20 próbami (lub 100, jeśli o to chodzi). Wszystko, co możesz osiągnąć dzięki tym blokadom, oprócz karania zapominalskich użytkowników, to zapobieganie atakowi brutalnej siły Możesz również użyć go, aby wywołać ostrzeżenie o trwającym ataku, ale nie jest to główny cel (jeśli tak było, oznacza to, że celowo robisz użytkowanie z użytkownikami, aby ułatwić sobie zadanie monitorowania. bardzo dobra praktyka).
Jeśli ktoś ma Twoją bazę danych haseł i może się do niej włamać offline, ma nieograniczoną liczbę prób. Twój limit 20 domysłów nie jest tam dobry.
Jeśli ktoś próbuje brutalnej siły w Internecie, wszystko, czego potrzebujesz, to hasło, które wytrzyma „wystarczająco długo”: wystarczająco długo, aby Twój IRT zareagował lub wystarczająco długo, aby atakujący się poddał.
Baza danych haseł Confickera jest nieco poniżej 200 haseł, IIRC, i jest wypełniona jednymi z najgłupszych haseł na świecie. Teraz załóżmy, że Twojego hasła nie ma na tej liście. Jeśli zezwolisz na 20 prób podania hasła, powiedzmy na 15 minut, bez blokowania, przedostanie się przez tę listę zajmie atakującemu więcej niż dwie godziny.
W rzeczywistości, nawet jeśli zawęzisz listę zgadywanych do haseł utworzonych na podstawie odpowiednich informacji o tym użytkowniku, takich jak kidsname02, birthday99 itp., nadal będziesz mieć co najmniej kilkadziesiąt haseł, wydłużając atak słownikowy do może godziny lub dłużej. wywołać alarmy, a nie kilka błędnych haseł w ciągu kilku minut.
Tak więc, jeśli możesz powstrzymać użytkowników przed najbardziej podstawowymi pułapkami związanymi z hasłami, możesz z radością zaakceptować wiele błędnych prób podania hasła.
Osobiście wyznaczam granicę na 15. Całkowicie arbitralna i przede wszystkim praktyczna rzecz: uważam, że każdy prawdziwy użytkownik poddał się na długo przed tym. Zwykle, jeśli jest tyle prób, jest to proces lub sesja, która wisi gdzieś ze starymi poświadczeniami. A jeśli tak nie jest, możemy porozmawiać o szukaniu ataków.