ユーザ数がどれだけあるかに依存するけど、ブルートフォース対策には、ユーザが規定回数ログインに失敗したら、アカウントロックというだけでは、パスワードを固定して、ユーザを変化させるような攻撃には、あまり意味がない。したがって、この対策に、同じIPアドレスからの接続で、規定回数ログインに失敗した場合、ログイン行為が規定時間できなくなるようにする必要があると思う。こうすることで、パスワードを固定してユーザを変化させる攻撃を成功しにくくすることができると思う。
ただし、これはあくまで、攻撃は同じIPアドレスからしか来ないという仮定に則っているに過ぎない。なので、ボットネットからブルートフォース攻撃を受けた場合、意味がない対策となるのは当たり前。
根本的な対策は、簡単なパスワードを設定できないようにするということに尽きるとは思うんだけど、これも時間さえかければ･･･ということになってしまうんだけどねぇ。
ま、時間をより多くかけさせるためにアカウントのロックアウトがあると思うんだけど。