Door Anoniem: Wellicht door tarpitting op het account in het algemeen toe te passen ipv per IP adres? Lijkt me geen slecht idee, maar is dat goed doenbaar ? Volgens mij is het het model heel vaak "de firewall doet de rate limiting,ip block white/black listing" , en die heeft geen inzicht in het account dat geprobeerd wordt . Dan moet je die feature op de bastion host (hopelijk) inzetten - en nogal wat IT organisaties hebben een silo model , perimeter team doen hun ding, server team doet hun eigen ding ). De persoon met die ene inlogpoging met het juiste wachtwoord kan wel even wachten. Als de keuze is om een gebruiker beperkte last te laten ervaren omdat er een bruteforce actief is of het account te laten compromiteren, dan weet ik wel waar ik voor kies. Overigens was ik even vergeten dat je natuurlijk 2FA gebruikt. Maar waar komt dan die 21% vandaan? Al die plekken waar dat niet gebruikt wordt... Okay, 2FA doe je natuurlijk vooral bij zakelijke accounts en je bank account etc. Niet voor het ...