Reza
Vind de 25 geen slecht idee hoor begrijp me niet verkeerd, komt bij mij alleen over dat je probeert in te breken.
Maar zoals Stefan al aangeeft, als je wachtwoord lastig maken verplicht is scheelt dit ook een hoop, dan zou 25 keer niet eens zo slecht zijn.

Dan gaat hij na die 25 keer voor een uur (of meer) het account op slot zetten, de eigenaar krijgt vervolgens daarna een nieuw gezet wachtwoord.
Het wachtwoord wil ik na de 25 keer dan wel resetten namelijk, is voor de klant al een teken dat iemand erin geprobeerd heeft te komen en wij dit hebben voorkomen.

Ik heb even alles in overweging genomen, persoonlijk spreekt de manier van Stefan.J me het meest aan.
De reden is dat ik persoonlijk ook denk dat veel mensen het eerst 20 keer gaan proberen voor ze gaan resetten.
Als oplossing heb ik bedacht, als de teller op 20x staat er een melding (waarschuwing) gegeven wordt dat het account op slot gaat na nogmaals 5 pogingen.

Wanneer een account op slot gaat wordt er een mail naar de gebruiker gestuurd, hierbij wordt een sleutel gegeven die het wachtwoord weer reset en het account deblokkeert.
Hiervoor heb ik gekozen omdat de bruteforce aanval dit verder toch niet kan volgen, het wordt naar de email houder verstuurd welke hem zelf kan deblokkeren en direct een nieuw wachtwoord instelt.

Indien iemand een beter idee heeft hoor ik dit uiteraard graag!
Tevens wordt op SSL niveau gewerkt, dus wachtwoorden gaan niet over een HTTP Protocol.

cakemasher
Ben ik volledig met je eens, daarom staat de teller op maximaal 25x, hierna wordt het account op slot gezet met informatie naar de account houder.
Het is dus niet zo dat hij na 5x gelijk op slot staat, je krijgt vooraf nog waarschuwingen dat je nog bijvoorbeeld 5 pogingen over hebt voor hij op slot gaat.

Betreft de telefoon, daar is de support voor, wanneer een klant iets niet kan bereiken mag dit gewoon aangekaart worden en zoeken we naar een oplossing.