Eu não sabia que isso é um comportamento padrão, e é definitivamente uma negação de serviço esperando para acontecer. O bloqueio temporário (ou lentidão simples) geralmente é suficiente para afastar ataques de força bruta (há muita discussão sobre esse tópico, eu me lembro de algumas questões do StackOverflow lidando com isso, mais na área de logins de sites). Sim, eles também são uma possível negação de serviço, mas apenas pela duração do ataque.
Eu não concordo completamente com Dave Cheney, enquanto você deve se preocupar com segurança física, um funcionário insatisfeito (mais freqüentemente um problema em empresas maiores do que em menores) e uma tela de login emprestada (hardware confiável) é tudo leva para bloquear as funções vitais da empresa, então eu não acredito que seja suficiente.