http://d.hatena.ne.jp/ockeghem/20080226/p1
あたりを読んで、脊髄反射的に思ったこと。
アカウントロックって、ある特定の人のパスワードを取得するという攻撃を防ぐには非常に有効だけど、そのサービスを使用しているユーザーであれば誰でもいいのでパスワードを取得するという攻撃にはあまり有効じゃないよなぁと。
アカウントロックは通常、あるユーザIDでのログインに既定回数失敗した場合、そのアカウントを一時的に使えなくするということなので、パスワードを固定してユーザIDを変えていくようなブルートフォース攻撃には無力だったりする。それに特定のアカウントを狙わないのであれば、内側のループをユーザIDにして、パスワードを外側のループにすることで、一定時間たてばクリアされるアカウントロックを回避して攻撃するなんてこともできるしｗ（試行するユーザIDを大量に用意しておけば、同じユーザIDを別のパスワードで試す前にクリアされるだろうし）。
ユーザIDもランダムな英数字を使っていたらこのような攻撃は困難だけど、数字だけとか、メールアドレスとか使っていたら飛躍的に簡単になるんじゃないかなぁ？
まあ、そもそもパスワードに簡単なもの使うなというのは前提条件としてあるんだけど、サービスを利用している人全員が、推測されにくいパスワードを使っているってことはそうそうあるわけじゃないと思うのですよ。特にユーザの数が多くなればなるほど・・・
そのためにもパスワードに簡単なものを設定できないようにするってのが必要じゃないかと思ったりする。

とはいえ、アカウントロックが無意味な対策というわけではなく、特定の人のパスワードを取得するという攻撃には有効なのでやるべきだとは思う。それに、ログをしっかりとっていれば、攻撃を受けていることはわかるので、ブルーとフォース攻撃を防ぐことはできると思うけどね。