@JesusDQ Muchos ataques pueden hacerse offline, primero adivinan tu contraseña en local y luego la usan para logearse a la primera.
Entonces pues, bloquear tras X intentos es más seguro que no hacerlo, porque limita el tipo de ataque que se puede hacer, por lo que digo ataque estará al alcance de menos gente. Pero como siempre hay fallos, siempre existe la posibilidad de que alguien encuentre la grieta.
Así que no, una contraseña de 5 caracteres no es segura.
