Si une application ne limite pas le nombre de tentatives d'actions sensibles (login, code PIN, coupon), elle est vulnérable aux attaques par force brute.
Un attaquant peut utiliser un script pour essayer toutes les combinaisons possibles (000, 001, ... 999) en quelques secondes.
Solution : Bloquer l'IP après X tentatives échouées, ou ajouter un CAPTCHA.