Timing bringt nicht wirklich was... zwar kann man sich daran orientieren, wie das "eigene" Verhalten so ist (ich z.B. liege beim tippen auf "meiner" Tastatur mitunter bei bis zu 12 Zeichen pro Sekunde und weiss, dass ich - wenn ich mich vertippe - den erneuten Login-Vorgang meist innerhalb von 5 Sekunden durch habe). Darauf basierend kann ich z.B. für mich "theoretisch" auch sagen: "Sofern 10 fehlerhafte Logins innerhalb von 1 Minute...." Das kommt aber schon fast an die alte klassiche Bruteforce-Klamotte ran von wegen "da, ziel, hau gib ihm!", aus dem Zeitalter sind wir aber nun schon länger raus und es werden künstlich erzeugte Wartezeiten eingebaut (halt im Rahmen "von" "bis" Sekunden). Der eigentliche Punkt bei solchen Regeln ist, dass man da irgendwo was "passendes" finden muss, bzw. sich die Frage stellen muss "wie oft verschreibe ich mich eigentlich?". So könnte man z.B. auch sagen: "3 fehlerhafte Loginversuche innerhalb von 60 Minuten", würde bedeuten: Einmal grob verhauen, dann nochmal "flott" versuchen, aber dann muss man auch wirklich aufpassen (aber dafür gibt es ja mitunter auch die Whitelist
). 3 fehlerhafte Versuche innerhalb von 60 Minuten haut aber so ziemlich jeden Angreifer aus der Bahn. Allerdings kommt es dann auch wieder auf den Userstamm an... sind da entsprechende... "Spezies" dabei, kann das entsperren natürlich auch richtig in Arbeit ausarten
EDIT: Also nochmal in Kurzform: Generelles Timing macht eher weniger Sinn, besser man orientiert sich an den eigenen Gewohnheiten
