Hallo JürgenB,

um zwei oder drei Sekunden verzögern

was bedeutet, dass dein Server 2-3 Sekunden warten muss und der Request so lange läuft.

Schreibst Du das mit einer simplen PHP Installation, bedeutet das einen laufenden PHP-Request pro Login-Versuch. Ein FastCGI-Prozess kann - meine ich - nur einen Request zu einer Zeit abarbeiten, d.h. du brauchst für parallele Requestverarbeitung auch mehrere FastCGI Prozesse. Wenn die alle mal kurz schlafen gehen, ist der Server lahmgelegt.

Vielleicht gibt's dafür Tricks und Methoden, das mit nginx oder Apache umzusetzen. Aber sicherlich nicht mit Default-Config, oder?

Wie auch immer. Während der Wartezeit ist der Request trotzdem in der Queue und belegt Speicher. Ein fleißiger Bot kann deinen Server dann immer noch fluten.

Rolf