可以通过三种方式实施登录暴力保护：

• 临时停工
• 永久锁定
• 验证码

在我看来，CAPTCHA 是最合理的解决方案，可以避免由于帐户锁定而导致暴力破解和拒绝服务的风险。如果您输入错误密码超过三四次，您可能会在 Facebook 和 Gmail 的登录页面上看到验证码。这是限制机器人暴力破解并同时避免锁定用户的一种不错的方式。

永久锁定不是一种新颖的解决方案，如果客户支持团队必须手动为用户解锁帐户，则会增加大量运营开销。另一方面，临时锁定阻止暴力破解，但就像你提到的场景一样，它可以锁定真正的用户。

是的，一些网站这样做是为了防止暴力破解或密码猜测攻击。网站不应禁止用户，而应禁止 IP 地址访问该网站。

如果攻击者从一个 IP 地址跳到另一个 IP 地址并进行暴力攻击，那么在这种情况下，网站可以禁止用户 ID 并通过电子邮件或其他方式通知被禁止的用户，或者可能会在短时间内禁止用户时间也会做需要的。

其他回答者已经提供了一些有价值的方法，网站可以通过这些方法防止滥用反密码猜测措施将人们拒之门外。这是另一个：IP 白名单。

@Skynet 已经建议将其列入黑名单，但现在攻击者能够构建规模超过一百万台设备的僵尸网络，这对于足智多谋的攻击者可能不是很有效。（请注意，攻击者不必自己构建这样的僵尸网络：许多网络骗子出租对他们机器人的访问权限。）

因此，虽然黑名单可以防御较弱的攻击者，但如果攻击扩展到大量 IP 地址，另一种方法是尝试限制对以前用于成功登录帐户的 IP 地址的访问.

当然，仍然需要注意：如果攻击者可以访问使用列入白名单的 IP 地址的设备，网站应该确保这不会让攻击者逃脱暴力检测。此外，由于用户可能具有动态 IP 地址或出于其他原因尝试从新 IP 登录，因此需要一些替代机制来绕过登录阻止，例如：

• 通过输入验证码（但请注意：坚定的攻击者可以以惊人的低价格雇用人员来解决这些问题）；
• 单击电子邮件中的链接（您还需要建立一些检查以防止其被滥用以淹没人们的收件箱）；或者
• 使用某种双重身份验证来证明他们是帐户的合法所有者。

是的，而且以前已经做过。这可能会导致某些网站出现大问题。OWASP 在他们的 Blocking Brute Force Attacks 页面上列出了一些如何出错的例子......

帐户锁定有时是有效的，但仅在受控环境或风险如此之大以至于即使是连续的 DoS 攻击也比帐户泄露更可取的情况下。然而，在大多数情况下，帐户锁定不足以阻止暴力攻击。例如，考虑一个拍卖网站，在该网站上，有几个竞标者为同一件物品而战。如果拍卖网站强制执行帐户锁定，一个投标人可以在拍卖的最后一分钟锁定其他人的帐户，阻止他们提交任何中标的投标。攻击者可以使用相同的技术来阻止关键的金融交易或电子邮件通信。