controllo IP per sicurezza Login

[carlo2002]

Siccome sto costruendo un area riservata con Login di accesso, stavo pensando di limitare i tentativi di inserimento della password nel caso questa sia sbagliata.
L'idea è di contare i tentativi provati dallo stesso IP.
Chiaro che un utente si può disconnettere e riconnettere cambiando così il proprio IP, però un Brute Force umano mi sembra improbabile. Invece un webbot non si stanca e i tentativi li farebbe sempre dallo stesso IP, quindi fermabile.
Secondo voi la mia idea è corretta oppure è campata in aria?

Grazie

[iraiscoming223]

può funzionare, certo l'attaccante può sempre utilizzare più proxy, ma avrebbe dei lag spaventosi impensabili per un attacco brute force...

poi cedo la parola a qualcuno più competente..

[Gil Mour]

Ma perchè vuoi fare un controllo per ip?

Tu puoi controllare il numero di tentativi su un determinato account, diciamo per essere originali i tentativi di accesso sull'utente pippo

Dopo N tentativi sbagliati tu puoi

- bloccare l'account per X tempo
- aggiungere un'immagine di verifica come campo aggiuntivo a username e password nel form di login (anche se ho sentito dire che alcuni bot riescono a forzare alcuni di questi sistemi)
- bloccare l'account e per esempio mandare al tizio una mail dicendo 'se vuoi che ti riabilito l'account clicca qui'
- altri n-mila modi a tua fantasia

Il controllo sull'IP di diverso ha che ti protegge dal fatto che uno proprio malintenzionato voglia provare la forza bruta su più di un account, e tu lo andresti a bloccare 'dalla fonte'...ma anche nel modo che dico io avrebbe al massimo N tentativi per account perciò boh, onestamente non vedo i vantaggi del sistema che proponi