Det är inget användarvänligt system alls. Din inloggning är bara 1 av 100 för många användare och de vill ha ett lösenord de kommer ihåg, annars försvinner många såvida du inte har en extremt bra tjänst. Lösenordet är till största delen användarens ansvar och inte ditt. Bättre är i så fall att sätta upp regler för hur lösenordet ska se ut eller helt enkelt bara ge tips och varna om lösenordet inte är säkert.

Eller varför inte använda 3-4 riktiga ord - de blir väl inte mindre säkra än alla dessa konstiga kombinationer. Använder man bara tillräckligt många ord och inte alla följer samma formel så lär det ta tid med ordliste-knäckning

Katten-springer-fort, Ner-faller-huset-nu, Huset-springer-kallt
Borde gå att fixa ett skript som slumpar, subjekt, predikat etc - visst det kan bli lite lustiga kombinationer men de går att komma ihåg

Du kommer fortfarande inte ifrån problemet. Det har ingen betydelse om lösenordet i sig går att komma ihåg. Användaren vill normalt sett använda ett lösenord som han / hon redan använder på andra ställen. Långt ifrån alla sparar inloggningarna i webbläsaren.

En annan viktig metod för att slippa användarbortfall är att ha en "kom ihåg mig"-funktion.

Varför inte göra så att du efter tre försök skickar ut ett mail till registrerad kontoadress med två länkar i. Den första länken tar bort blockeringen - som blockerar kontot - inte ip-adressen. Den andra länken tar bort blockeringen och skickar ut lösenordet/generar ett nytt lösenord.

Jag håller inte med om att det enbart är användarens ansvar. Blir något konto crackat får jag som tillhandahåller tjänsten skit även ifall användaren har valt sitt förnamn som lösenord eller något annat lika dumt. Sätter man upp regler riskerar man att ens egna regler är inkompatibla med andra siter. Exempelvis kanske en site kräver att lösenordet ska innehålla två små bokstäver, två stora, två siffror och två specialtecken. Medans en annan site har ungefär samma krav fast kan inte hantera specialtecken i lösenordet. Då måste användaren ändå lära sig ett nytt lösenord eftersom "abE 1R9/+" inte funkar på alla siter.

Tror därför det är en bättre kompromiss att bara använda systemgenererade lösenord. Det är inte så svårt att få användaren att spara ett mail och har man en bra mailklient typ gmails interface tar det inte många sekunder att hitta mailet.

Tack för feedback.

Jag gjorde som så att jag gav dem ett ytterliggare försök, gjorde det tydligare hur de ska få nytt lösenord och framför allt har jag gjort att när man väl blir blockerad så skickas det ett speciellt mail med instruktioner till den e-post som är kopplat till kontot. Detta görs dock endast en gång. Även gjort instruktionerna tydligare.

Jo det har jag automatiskt 20 dagar.

Tidsbegränsa det, sen om det är 3 eller 10 försök spelar mindre roll

Jag tror att det stora problemet är att användare inte tänker som vi.
Vem är det du vill stoppa, är det en klanting användare som har sju olika lösenord att välja mellan, eller är det intrångsförsök?

Om vi räknar på att alla lösenord bara innehåller siffror (det är så lätt när det finns 10) och att du kräver fyra tecken i dina lösenord, så finns det 10 000 kombinationer. Statistiskt sett krävs hälften innan du prickat rätt, dvs 5000 försök.

Om du säger att man måste vänta en sekund mellan varje inloggningsförsök betyder det att det tar lite över en timme att träffa rätt. Ökar du till fem sekunder efter 5 misslyckade försök, och 10 sekunder efter 10 misslyckade försök så kommer det ta en evighet.

3 är extremt förlite försök, även jag som vet mitt lösenord till 100% så är 3 försök förlite.

Just för att man kan skriva fel, dåligt tbord som inte alltid registrerar alla inmatningar etc etc.

Jag kan lätt komma upp i 10 försök även fast jag vet vad lösenordet är, men största orsaken är det det är så starkt lösenord och tbord som inte är 100% alltid.