残念ながら、このような状況では、常にセキュリティと利便性の間で妥協する必要があります。あなたが選択した特定の番号は問題ないと思います。人間はおそらくそれらのことをしませんし、もし何かがしたとしても、それはおそらく正当なユーザーではありません. 継続するために CAPTCHA を要求し始めた後も、それらのケースをカウントし続け、ある時点でアラートをログに記録し、それらのアクションが手に負えなくなった場合は最終的に IP アドレスを禁止することをお勧めします。
妥協しなければならない 1 つの場所は、ユーザーの追跡方法です。Cookie を使用すると、より正確になりますが、ほとんどの場合、ボットは Cookie を送信できないため、追跡を逃れます。したがって、唯一の現実的な解決策は、IP アドレスで追跡することです。これに関する問題は、共有 IP アドレスの背後にあるすべてのユーザーが同じように見えることです。そのため、3 人のユーザーがすべて 1 回のログインに失敗した場合、1 人のユーザーが 3 回失敗したのと (ほとんどの場合) 同じに見えます。また、誰かがあなたのサイトを悪用して合法的に禁止され、共有 IP アドレスの背後にいる場合、他の正当な顧客が影響を受ける可能性があります.
要約すると、セキュリティと利便性の間で必要なバランスを見つける必要があります。