Výpočet ani pravidlo není. Musí se to brát podle toho, co je účelem. Účelem omezení pokusů o přístup je to, aby nešlo přístupové údaje uhodnout hrubou silou, a zároveň aby se oprávněný uživatel dokázal přihlásit, když potřebuje. Takže záleží na spoustě okolností, třeba na tom, jak silná se používají hesla. Pokud to bude 4místný PIN, stačí těch pokusů hrozně málo a i omezení 3 chybné pokusy → blokace na 5 minut znamená, že útočník nejpozději za dva týdny PIN získá. Nebo-li s tím nevystačíte. Naopak pokud s jistotou víte, že uživatelé mohou mít jenom silná hesla, nemusíte blokování dělat vůbec.
Nebo-li počítejte s tím, jak máte silná hesla, jaké má oprávněný uživatel alternativy přihlášení (PUK, zaslání obnovovacího kódu e-mailem), jaké jsou jiné možnosti automatického hádání (např. po 2. špatném pokusu zapnout pro uživatele CAPTCHA). Na straně útočníka naopak počítejte s tím, že může hesla zkoušet z mnoha míst zároveň a také že po blokaci nezačíná znova od začátku, ale pokračuje tam, kde skončil.