Почему не может заснуть (3) перед проверкой входа, чтобы предотвратить грубую силу?

В сценарии входа в систему PHP, почему этот псевдокод не может предотвратить атаку методом подбора? Конечно, это все еще возможно, если уделить достаточно времени, но бесполезно грубо насиловать что-либо, кроме нескольких символов?

Изменить: я не спрашиваю, каков оптимальный способ создания сценария входа в систему — просто ли Sleep () является эффективным способом радикально сокращение шанс успеха атак грубой силы.

<?php
sleep(2)

if($_POST['password'] == $passwordInDB)
$loggedIn = true;
else {
sleep(3) //slow down even more on failed attempts.
echo "login failed";
}
....
?>

Предположения:

1. Это обычный базовый веб-сайт, требующий предотвращения атак «лучше, чем ничего». Очевидно, что огромные сайты с миллионами пользователей — это совсем другая история.
2. Apache настроен с MaxRequestWorkers на 100, например (по умолчанию: 256)
3. Сервер достаточно мощный, чтобы обрабатывать 100 одновременных запросов.

Мой скрипт потратил 5 секунд, чтобы завершить неудачный запрос.

Разве злоумышленник не сможет выполнить в этом случае только 100 * 5/60 = 8,3 догадки в секунду? Что совершенно бесполезно для любого нормального пароля?