Чтобы защитить форму аутентификации от атак перебора без использования внешних средств (например, WAF или специализированных сервисов), можно применить следующие подходы:

Ограничение количества попыток входа с одного IP или для одного пользователя. Например, блокировать или задерживать дальнейшие попытки после 3-5 неудачных.
Введение задержек (throttling) после неудачных попыток — увеличивать время ожидания перед следующей попыткой.
Использование капчи после нескольких неудачных попыток, чтобы убедиться, что это не бот.
Блокировка аккаунта на некоторое время после превышения лимита неудачных попыток.
Логирование и мониторинг подозрительной активности для последующего анализа.

Пример реализации задержки в Go:

var failedAttempts int
var lastAttempt time.Time

func authenticate(user, pass string) bool {
    if failedAttempts >= 5 && time.Since(lastAttempt) < time.Minute {
        time.Sleep(time.Minute - time.Since(lastAttempt))
    }
    if checkCredentials(user, pass) {
        failedAttempts = 0
        return true
    } else {
        failedAttempts++
        lastAttempt = time.Now()
        return false
    }
}

Таким образом, без внешних средств можно реализовать защиту на уровне приложения, комбинируя лимиты, задержки и капчи.

Как защитить форму аутентификации от атак перебора (brute force) без использования внешних средств защиты?