ยอมให้ผู้ใช้งานใส่รหัสผ่านผิดพลาดติดต่อกัน ก่อนระงับการเข้าสู่ระบบชั่วคราวหรือวิธีการอื่น ๆ ที่เทียบเท่า เพื่อป้องกันการเข้าใช้งานโดยวิธีเดาสุ่ม (brute force) ทั้งนี้ ในทางปฏิบัติไม่ควรยอมให้ผู้ใช้งาน
(recommendation/opportunity for improvement) ที่จะช่วยเพิ่มประสิทธิภาพในการบริหารจัดการความเสี่ยงด้าน IT ขององค์กร ซึ่งการไม่ปฏิบัติตามข้อเสนอแนะดังกล่าวไม่ได้ส่งผลกระทบต่อการบรรลุวัตถุประสงค์ด้านการรักษาความ