OA系统需不需要对用户登录错误次数进行限制？

本以为这是一个不需要多做讨论的事情，结果浪费了一个小时的时间进行争辩。

我的观点是：必须加错误登录次数的限制，如果后期发现安全性不能，还要对特定人员采用密钥+密码之类的登录方式。

反对方的观点是：不要增加错误次数的验证，因为很多人会忘记用户名和密码，这样做会很麻烦，用户体验不好。

虽然他们的理由让我有点诧异，一个每天上班第一件事就要登录的系统，居然还能一直记不得用户名和密码？不过我还是不得不承认，每个公司的确有一些不太擅长和喜欢操作电脑的人，也的确存在那种永远记不得密码的人，但是这些都是有办法解决的（密码和用户名记在纸上、限制用户输入次数为10次20次、用户名锁定10分钟后自动解锁、用户联系管理员可以立刻解锁、页面上方增加一个【找回密码】功能、等等），不能因为考虑一些非主流的习惯，而降低系统的安全性。

可能是与我之前做的项目有关，我对安全性一直比较重视（之前公司做在线交易），我觉得对用户连续多次输入错误，必须冻结其账号以保证用户账号的安全性。

虽然OA系统是每个公司内部使用，但是安全性要求丝毫不低。如财务部账目、公司高层审批的文件都是一些对安全性要求很高的东西。

目前所做的错误登录次数的限制，虽然不能彻底阻止破解密码的人，但是至少能够加大他们破解的难度。没有攻不破的系统，所谓的安全也都是相对的，防君子不防小人！！