Bom ponto, Elias! Acredito que não existe certo e errado, mas inúmeras variáveis no caminho kk'

No cenario Google, de certo existem N questões de bloqueio de segurança, log de tentativas... além é claro, de que é mais fácil encontrar um usuário que existe, do que um que não existe, no Google. E claro, o e-mail já é público, diferente do login de plataforma kk

Meu apontamento vai mais pro software de empresa XPTOEsquina, onde o login não é público, não tem base de usuário tão extensa, e muitas vezes, mal há um log de tentativas de login. O famoso, mundo real kkkk

E aí galera, achei a discussão fascinante e vou dar meus pitacos.
O que fica evidente é que a segurança digital é uma balança constante entre conveniência para o usuário e proteção contra ameaças. Segurança e usabilidade são como água e óleo, mas a gente precisa encontrar um meio termo. O rate limiting é uma boa ideia, mas como o Filipe mencionou, é apenas uma camada da segurança, não resolve tudo.

Também precisamos, por exemplo, pensar em como educar os usuários sobre segurança pq muitas vezes, ele é o elo mais fraco da segurança e não o sistema.

Concordo com o ponto sobre a diferença entre gigantes da tecnologia e empresas menores. Empresas como o Google têm recursos para investir em segurança de uma maneira que muitas empresas menores não têm, por isso é importante que as menores busquem soluções alternativas e se mantenham atualizadas sobre as melhores práticas.

Gosto muito dessas discussões, pragmáticas e diretas, sobre um tema que está em constante mudança. Agora me permitam mudar um pouco a frase do memorável Renato Russo, "Todos os dias quando acordo.... já estou desatualizado!