Finde diese Zwangs blockierung sowieso absolut unsinning. Sicherheitstechnisch macht es keinen sinn. Der einzige Nutzen den man hat ist jemanden zu ärgern in dem man absichtlich sich falsch anmeldet. Gegen Bruteforce hilfe ein einfaches Delay. 500ms reichen schon massiv aus. Und dass ein “Angreifer” versucht per Hand zu raten ist unwahrscheinlich und unpraktikabel. Der einzige der wirklich viele Versuche per Hand macht ist der User selbst, da er seine 10 oder 20 verschiedenen Passwörter durchprobiert und sich dann ärgert dass er ersma geblockt ist 