Hallo Andreas,

Oder vielleicht ein eigenes Apache-Modul schreiben?

Ja, das wäre das sinnigste.

Eine Verzögerung ist bei HTTP eigentlich Schwachsinn, wenn man gegen Brute-Force absichern will, da man einfach parallel eine neue Anfrage stellen kann und sich um die Verzögerung einen feuchten Dreck scheren kann. Daher würde ich Verzögerung lassen und lieber Benutzer für längere Zeit komplett sperren bei Brute Force.

Das Modul müsste halt irgendwo Protokoll führen über die letzten fehlgeschlagenen Einloggversuche. Und wenn nun wieder ein Versuch kommt und innerhalb der letzten x Minuten/Stunden/Tage y fehlgeschlagene Einloggversuche passiert sind, dann müsstest Du den Versuch von vornerein verweigern (am besten mit 403 statt 401), egal, ob dieser Erfolg hätte, oder nicht. (Achtung! Wenn Du nur erfolglose Versuche verweigerst, dann wäre Brute Force dennoch möglich, weil dann der Schutz komplett unnütz wäre!)

Viele Grüße,
Christian