отвечу брутфорс не работает.
Почему? потому что пинг до хоста 40 мс в итоге 80 мс.
Это в лучшем случае. Посчитайте сколько времени вы будете ломать хотя бы 6 значный пароль.
А если человек на своем ресурсе поставит задержку в 500мс?
Для конечного пользователя это не заметно, а для вас критично.
Ну и последний страйк, ограничение на количество логонов с хоста, просто увеличение таймаута в 2 раза. То есть если с 195.0.0.1 приходит запрос и он не верен то идет увеличение для этого адреса
0.5, 1, 2, 4, 8, 16, 32, 64, 128, 256, 512, ....