令和2年 午後II 問１ 設問４ (1)と(2)
についての質問です。

サイトRのパスワード失念時の処理についての問題点を答える問題と、その改修策を答える問題です。

私は問題点について、そもそもブルートフォース対策を実装していないこと自体が問題なのではないかと思い、それを問題点として記述しました。

ブルートフォースでも別解となるのか？そもそも処理として対処できるものなのか？(WAFなどがないとだめ？)そこがよくわかりません。

皆さんはどう思いますでしょうか？ご意見お聞かせいただけると嬉しいです。

ブルートフォース攻撃に対して、なんらかの措置をすることにより
ある程度の問題の軽減はできると思われます。
ですが、それは今回のように攻撃がブルートフォース攻撃だった
場合に限ります。

他のサイトから会員番号・誕生日が流出し、それを用いた
リスト攻撃の場合は効果がありません。

そのため、対策として根本を修正すべきであり、
「パスワードリセットのURLを、登録済みメールアドレスだけに送る」に
なると思われます。

抜本的な対策が重要ということですね、、、ほかの問題にも活かせそうです！
ご回答ありがとうございました！