Ja, das mit den unsicheren Passwörtern ist ein Problem, allerdings würde ich die Accounts nicht nach 3 Fehlerversuchen komplett sperren (sehr viel Aufwand für die Admins, sie wieder zu entsperren) und dos Attacken sind gut möglich, sondern stattdessen beim Passwortändern ein Passwortcheckprogramm laufen lassen, so dass die User gezwungen sind ein schwierigeres Passwort zu wählen. Außerdem hilft es noch viel, den Usern überhaupt klar zu machen, das ein Passwort sicher sein soll und wie es sicher ist.