Как я могу предотвратить атаки методом перебора?

Я работаю над аутентификацией и добавляю защиту от грубой силы. Я не знаю, как мне поступить.

Должен ли я просто выполнить плоский блок после 15 неудачных попыток для определенного IP-адреса ... или я должен привязать его к имени пользователя? Должен ли быть порог капчи и абсолютное отсечение?

Есть ли другие шаблоны, которым я должен следовать?