Как бороться с брутфорсом?

Все очень зависит от того, что за сервис вы разрабатываете, как и кем он будет использоваться и что в нем есть интересного для брутфорсера. Пока ваш сервис не имеет большой пользовательской базы и не особо интересен атакующим и его брутят только стандартные боты-краулеры которые ищут доски объявлений, будет работать все что угодно, в том числе и простые рейтлимиты, как вы предлагаете и капчи. Если у вас популярный сервис с большой и разнообразной пользовательской базой, то окажется что с одного IP могут ходить и хорошие пользователи и плохие, помимо прямого брута (по паролю) бывает обратный (с одним паролем по разным пользователям), что пользователи очень не любят капчи (а иногда и физически не имеют возможности их ввести, например из-за плохого зрения или дальтонизма) и т.д. В таких случаях защита от брутфорса требует более интеллектуальных подходов и вряд ли вам о деталях их реализации кто-то подробно расскажет.

придумай свою уникальную капчу

Добавьте в форму csrf токен, чобы ограничить xss и нельзя было просто спамить post-запросами не получив заранее форму.

Помимо задержки можно еще и капчу показывать.

Задержка 30 секунд с самого старта - немножко перебор, т.к. три ошибки не сложно и руками сделать (не та раскладка, капслок). Я бы начал с десяти, например.

Счетчик попыток не только для ip но и для логина, потому что могут брутить целевого юзера с разных ip.

А вообще да, вы повторно изобретаете то, что уже давно существует и на уровне методологии и в виде программных продуктов.

зачем тебе давать 30 сек передержки? просто отправляй письмо восстановления на почту и все, с предупреждением тип, если это были не вы поменяйте пароль на более сложный. Или просто создай статистику сессий на сайте для юзеров. и выдавай токен при каждой авторизации.

fail2ban

Как вариант, если у тебя регистрация по почте, то после нескольких неудачных попыток входа на сайт, отправлять пользователю уведомление на почту, дальше заморозка аккаунта/смена пароля, либо просто ссылка для того, чтобы пользователь снова смог авторизоваться и дать новые куки/токен. Люди предлагали выше поставить капчу, даже если и обходится, все равно будет лишний барьер, и не каждый захочет с ним бороться и тратить на него время.

Сделайте брутфорс для атакующего дорогим и не выгодным. Например, вычисляйте что-то хитрое в течении пары секунд на javascript и используйте в форме ввода.

Обратите внимание, что задержка активируется именно для этого IP. То есть если злоумышленник пытается подобрать пароль - у него ничего не получится, т.к будут бешеные задержки. В то же время владелец аккаунта спокойно сможет зайти в аккаунт и увидеть, что кто-то пытался войти в аккаунт.

Современные боты сканят с достаточно большого диапазона адресов (например ботсеть) и соответственно в логах будет всего по одному отлупу…

как вариант, если от взламывающих приложений, можешь поставить input type="hidden", реальный пользователь не увидит этого поля, а вот приложение будет туда писать, и если там что то есть, то сразу блокировать его, это как еще один вариант от взломов

Нормальный вариант? Как думаете? Есть ли способы лучше?

Да. Это общепринятый стандартный вариант который решает данную задачу.
Минус этого способа в том что блокируется IP а это может быть выходной шлюз крупного провайдера с которого ходят тысячи пользователей.

Если есть необходимость его можно комбинировать с другими способами, но в большинстве случаев его достаточно.
Вообще по ресурсу надо смотреть. Например можно делать небольшую задержку в пять секунд уже со второй попытки - и пользователя не напрягает и перебор существенно замедляет. А через пять неуспешных еще и капчу добавить.

Можно вести статистику по IP и если с него много попыток авторизации, но ни одной успешной - в бан его на некоторое время. Собственно fail2ban похоже работает.

Определитесь с зонами ответственности.
Админка одно, а публичный доступ другое.
Определитесь с требованиями к паролю и ограничьте доступ к админке только с определённых IP.

Далее чётко дайте знать пользователю, что его пароль - это его ответственность.

Добавьте двух факторную авторизацию.

Если начинают ломать, то брутфорс - это только один из подходов.