Ben les systèmes bien faits le font (tu peux essayer sous Linux par exemple, si tu te plantes de mdp tu as un délai d'attente avant de pouvoir réessayer), certains même avec un délai proportionnel au nombre de tentatives. Mais ceux qui piratent les comptes pour le fric ne cherchent généralement pas à casser un compte en particulier, plutôt à trouver ceux qui sont facilement exploitables ; donc j'imagine qu'ils testent seulement les mots de passe les plus courants (quelques centaines ou milliers peut-être ?), et qu'ils passent au suivant si ça échoue.