Ciao a tutti! come gestite voi i tentativi falliti dei login?
i casi che mi vengono in mente sono due, se ce ne sono altri meglio! parliamone
1) l'utente può tentare infinite volte il login
2) l'utente ha ad esempio 20 tentativi dopodichè l'account viene bloccato per 5 minuti (numeri puramente inventati)
nel primo caso un attacker potrebbe creare uno script che dato un determinato nickname genera password a caso e le testa finchè non trova quella corretta e la salva. se venisse applicato al secondo metodo lo script porterebbe metterci anni a individuare la password (idealmente, perchè lo script potrebbe prima tentare password più usate come "qwerty", "000000", "123456" ecc... e beccarla in un secondo)

Il secondo metodo però potrebbe dare altri problemi, perchè se l'intento dell'attacker è impedire il login a tutti gli utenti potrebbe fare uno script che ogni 5 minuti fallisce 20 tentativi di login per tutti gli utenti.