A preocupação do exemplo dado é válida, mas dá pra resolver com um simples rate limiting que vai acabar com qualquer brute force. Joga um delay de 50ms na resposta (login não precisa ser rápido) e acaba até com um bruteforce descentralizado.
Em resposta a Segurança: Mensagens de erro genéricas VS específicas
2
2
Verdade Elias! Rate Limit é obrigação. Porém, penso que não resolve, mas sim, complementa.
Se além de um cachorro grande podemos colocar uma boa fechadura na porta, melhor ainda, não é?!
Hoje em dia infelizmente precisamos olhar pra qualquer possível brecha de segurança, se não, outra pessoa vai olhar hahaha.