ごく当たり前の提言をします。
パスワード総当たり攻撃への対抗策として誤入力連発によるパスワードロック機能を導入する際、やってしまいがちですが以下のような仕様にはしないでください。
最後に認証成功またはパスワードを変更して以降かつ直近○○分以内の
パスワード誤りが○○回に達したら
それから○○分間はパスワード認証を拒否する
そうではなく以下のような仕様にしてください。
最後に認証成功またはパスワードを変更して以降かつ直近○○分以内の
パスワード誤りが○○ **種類** に達したら
それから○○分間はパスワード認証を拒否する
正当なユーザーの多くはパスワード認証を拒否されたらまず自分のミスタイプを疑い、再入力を試します。再々入力、再々々入力を試すことも大いにありえます。別のパスワードを試すこともありますが、それも拒否された場合はやはりその別パスワードのミスタイプを疑ってそれも再入力します。正当なユーザーは、自分のミスタイプを疑っての再入力で容易に試行回数を使い切ってしまうのです。
それに対して、総当たり攻撃をする攻撃者の目的はより多くの種類のパスワード候補を試すことです。
誤ったパスワードの種類数でなく回数を条件にすることは、防御力にまったく寄与することなく正規ユーザーの利便性だけを下げているのです。利便性ということは当然、カスタマーサポート工数とユーザー離脱率を高める利益削減要因だということです。回数を条件にする意義はまったくありません。