Il vantaggio di non riuscire a dormire.. o per lo meno quello di dormire in media 5 ore al giorno, è quello di avere il tempo di leggere tranquillamente i digest dei maggiori newsgroup sulla sicurezza il mattino prima di andare a lavorare. Mentre sfogliavo IT-Sec-NSE ho trovato un interessante post che inizia con un Security News Update dal "Centro di ricerca e prevezione dei Crimini Informatici India"; Ho trovato molto interessante questa serie di suggerimenti.

Instigate
a 'time out' feature on the log-in form. This will slow down a brute force attack to such an extent that it will render it ineffective.

Avoid
applying a permanent lock-out on the log-in form: an attacker could deliberately lock out valid users by trying bad passwords on their accounts.

Make
sure the error message on the log-in form is generic; dont distinguish between a valid/invalid username and valid/invalid assword. "Incorrect credentials entered is a suitable response.

Consider
implementing a second authentication factor on the forgotten password feature, e.g. a memorable date.

Ensure
you are logging HTTP POST requests from the log-in form and forgotten password feature as this may not be enabled by default.