<div dir="ltr"><div>Good morning, today I was thinking about our brute force flow and was wondering if we could change it.</div><div><br></div><div>I know it&#39;s not our job to be a firewall or IDS. At the same time, our current flow today make passwords guessable for attackers. A successful login attempt is clearly distinguishable based on the error response.</div><div><br></div><div>TL;DR if a password is invalid we get &quot;Invalid username and password&quot;, but if it&#39;s valid we get &quot;Account is temporarily disabled, contact admin or try again later.&quot;. Which pretty much means that an attacker could complete the attack from another machine or later, because now she knows that such account exists and it&#39;s valid.</div><div><br></div><div>What I would like to suggest, it&#39;s just to remove the error message for account disabled. This information is relevant for the Keycloak administrator, but I don&#39;t think it&#39;s necessary for the final user. People will contact the admin anyways.</div><div><br></div><div>Thoughts?</div></div>