Taka blokada ma jeden minus: można dowolnie komuś blokować konto, po prostu wklepując bezsensowne hasła do oporu.
Bardziej bym się chyba skłaniał do czasowego blokowania możliwości logowania. Np. 3 razy błędne hasło → 5 minut przerwy przed próbą ponownego logowania. Kolejny raz ktoś podaje błędne hasło → 10 minut itd. Przy którejś próbie można też banować całą przeglądarkę.