次のような場面にはきっと心当たりがあるはずだ。自分のアカウントにアクセスしようとパスワードを入力する。最初の2回で間違ったパスワードを入力してしまい、正しいパスワードを思い出したものの、今度は入力するときに指が滑り……。ロックアウトされてしまった。この「3回ロックアウト」ルールは、ほぼ普遍的に導入されている。そしてほぼ例外なく評判が悪い。厄介なのは、実際なぜ「3回」なのか、という理由が誰にも分からないということだ。「試行回数は3回」というのは、恐らく、忘れてしまった場合も考慮した上で、ハッカーがあまり簡単には推測できない回数だとして当初考えられていたのだろう。しかし、3回という回数が「スイートスポット(最も有効性の高い場所)」だという経験的証拠はない。2003年に提唱されたように、3回ではなく、5回、7回、あるいは10回でもいいはずだ。