Je voudrais contester votre hypothèse selon laquelle n'est pas effectuée.
[avertissement: approximations sauvages à suivre]
N'oubliez pas qu'une attaque par force brute réussie nécessitera des millions ou des milliards de suppositions par seconde pour faire le crack dans un laps de temps raisonnable (par exemple, quelques heures à un mois selon la force de votre mot de passe). Même une limite de taux de 100 tentatives de mot de passe par seconde ferait passer le temps de crack d'un mois à des centaines de milliers d'années. Peut-être que mes normes sont faibles, mais cela me suffit, et aucun utilisateur humain essayant légitimement d'accéder à son compte ne le remarquera jamais. Encore mieux si la limite de débit était par IP plutôt que par nom d'utilisateur juste pour empêcher certains types d'attaques par déni de service.
De plus, je ne sais pas quelle distribution Linux vous utilisez, mais sur mes systèmes Ubuntu et CentOS, lorsque je saisis mal mon mot de passe sur les écrans de connexion de l'interface graphique ou du terminal, il se verrouille pendant 1 seconde avant de me demander à nouveau.
Même si le serveur n'est pas actif tentatives de connexion limitant le débit (ce qu'elles devraient vraiment être), le temps de ping suffit à lui seul pour vous ralentir à des millions d'années. Vous aurez probablement DDOS le serveur avant d'arriver à près de 1 milliard de suppositions / seconde. L'argent réel consiste à obtenir une copie de la base de données de mots de passe hachés et à l'insérer dans une plate-forme GPU où des milliards de suppositions par seconde sont possibles.
TL; DR: si vous l'êtes vous ferez des efforts pour renforcer votre serveur de connexion, vous en aurez plus pour votre argent en améliorant le hachage de votre mot de passe et en rendant votre base de données difficile à voler qu'en implémentant une limitation de débit sur votre écran de connexion.
MISE À JOUR : comme cela est devenu viral, je vais tirer quelque chose des commentaires:
Cette logique ne s'applique qu'aux serveurs de connexion. Pour les appareils physiques tels que les téléphones ou les ordinateurs portables, une chose de type «3 tentatives et il se verrouille» ou «10 tentatives et l'appareil essuie» a toujours du sens, car quelqu'un pourrait surfer sur l'épaule pendant que vous tapez votre mot de passe ou voir le motif de bavure sur votre écran, ou sachez qu’un code PIN à 4 chiffres n’a de toute façon que 10 000 combinaisons, de sorte que le nombre d’évaluations nécessaires est très beaucoup plus petit.