Innanzitutto, bloccare gli account è una cattiva idea. Potrebbe sembrare che tu stia rendendo la tua organizzazione più sicura tenendo lontani i "cattivi" che "indovinano" le password usando la forza bruta attacchi, ma cosa hai veramente risolto? Anche con questa politica e una base di utenti perfetta che non commette mai errori di sicurezza, un utente malintenzionato può eseguire un attacco Denial of Service alla tua organizzazione utilizzando ripetutamente la password "aaa" per bloccare gli account degli utenti critici. Considera cosa succede se il tuo aggressore ottiene una copia dell'elenco dei nomi utente per l'intero reparto IT: all'improvviso, l'IT stesso, l'organizzazione che altrimenti sarebbe in grado di sbloccare altri utenti, viene a sua volta completamente chiuso.
Considera sempre qual è il modello di minaccia prima di implementare una policy. Un "cattivo" determinato a danneggiare la tua organizzazione troverà vettori di attacco alternativi. La tua politica di blocco non sconvolgerà nemmeno un attore di uno stato nazionale (come Russia, Cina o NSA); un hacker determinato troverà semplicemente altri modi per aggirarlo (come l'ingegneria sociale); e danneggerà solo gli utenti legittimi del tuo servizio, non importa quanto alto o basso imposti il contatore di blocco.
Morale della storia: non bloccare gli account. , fai quello che fa Apple con l'iPhone: ogni tentativo di accesso raddoppia il ritardo di accesso, in modo che dopo una dozzina di errori o giù di lì, devi aspettare un'ora tra ogni tentativo successivo. È abbastanza lungo da impedire ai "malintenzionati" di eseguire attacchi di forza bruta, ma comunque abbastanza breve da consentire a un utente legittimo di dedicare quell'ora a capire quale fosse la propria password e a digitarla correttamente dopo pranzo o a contattare l'IT chiedendo scusa aiuto . (Allo stesso modo, i criteri di "inondazione" possono spesso essere implementati a livello di indirizzo IP nel firewall, non solo a livello di account utente nel software, se sei preoccupato per un attaccante dedicato che cerca di forzare molti account diversi .)
E se non blocchi gli account, non è necessario avere un contatore o visualizzarlo .
[ vedi anche: questa eccellente risposta a una domanda simile ]