es que no hay una única medida anti fuerza-bruta, entonces no hay algo genérico, en cada caso tendrás que optar por una u otra cosa, por ejemplo algunas medidas pueden ser:
- ralentizar la velocidad de la conexión contra más intentos fallidos hagas - bannear ip's después de X intentos - detectar peticiones automatizadas para filtrarlas - captchas - ...
cada una de estas medidas tienen que abordarse de formas distintas, aunque no es fácil y si están bien implementadas tendrás que optar por otra cosa que no sea fuerza bruta