最近，在奥兰治县举行的 OWASP AppSec 2010 会议上，来自 AT&T 的 Bill Cheswick 详细讨论了这个问题。

简而言之，研究不足。

总而言之，以下是他的一些关于不那么痛苦的帐户锁定的想法：

• 不要计算重复的密码尝试（他们可能认为他们输错了）
• 制作有关主密码的密码提示，并且没有（弱）辅助密码
• 允许受信任方为用户担保，以便他可以更改密码。
• 以递增的时间增量锁定帐户
• 提醒用户密码规则。

任何符合PCI 数据安全标准的网站都必须遵守部分

• 8.5.13（通过在不超过六次尝试后锁定用户 ID 来限制重复访问尝试）
• 8.5.14（将锁定持续时间设置为三十分钟或直到管理员启用用户 ID）。

不幸的是，这就是为什么许多接受信用卡的网站都有严格的锁定政策的原因，即使他们的设计者不一定同意他们实施的内容。

编辑：请注意，这些要求仅适用于“非消费者用户”的系统，因此它们不应影响接受卡的客户站点。

我的经验是锁定机制越来越受欢迎（至少对于网络应用程序而言）。在一系列失败的尝试之后，您不再锁定帐户，而是开始询问其他信息以成功进行身份验证。

如果它来自棒球“三击”规则而不是任何技术性规则，也不会感到惊讶。

一个理由（无论如何对于字母数字密码）是

通常，失败的尝试是错误类型或 CAPS 开/关问题。因此，您尝试登录并被拒绝（1），再试一次，因为您认为您输入错误（2），然后意识到 CAPS 键已打开，因此您在第三次尝试时进入。

当通常输入数字代码时，实际上并不适用于从网络解锁手机。

更好的建议是在连续失败的登录尝试之间不断增加延迟。首先，您允许即时重试，然后是 1 秒、2、4、8 秒……您在尝试之间快速等待一分钟，这足以应对任何蛮力攻击。