Я настроил свою базу данных для регистрации каждой неудачной попытки входа в систему. Я думал, что умножу количество неудачных попыток на 0,05 секунды или что-то в этом роде. Что-то типа:
time_nanosleep(0, (50000000 * $failed_attempts ) );
Чем больше попыток использует хакер для подбора пароля, тем больше времени уходит на проверку каждый раз. После проверки 100 паролей он должен ждать 5 секунд между каждой попыткой.
Это хороший способ остановить брутфорс? Я идентифицирую пользователей по IP. Так что я думаю, вы можете использовать брутфорс приложения, используя несколько прокси-серверов или что-то в этом роде, но кроме этого, я думаю, это хорошая идея. Что вы ребята думаете?