@JesusDQ como contraseña es vulnerable. Es mejor optar por contraseñas mas largas aunque incluyan solo caracteres normales. Si el sistema se bloquea a los 5 intentos sigue siendo vulnerable a ataques de timing. Imagínate, hago 3 intentos, una hora después otros tres, no es tan difícil sacar la contraseña si no cambia pasado cierto tiempo. Puedo dejar un bot por la noche.

@Sicoaxial
Entiendo, entiendo.
Aunque en este caso concreto no sería muy factible porque la cuenta se queda totalmente bloqueada hasta que el administrador la desbloquea manualmente (y el admin no va a tener tanta paciencia desbloqueando miles de veces la cuenta antes de decir "mira, te vas al carajo por no aprenderte tu contraseña" 😅).

Gracias por la respuesta, es un punto muy interesante en el que no había caído.