基于安全考虑，App注册或登录时往往会增加图文验证码之类的防止程序自动注册、短信轰炸或自动登录破解密码，但目前也有很多主流App并没有加验证码 他们是怎么设计安全防护的？

    举例：一些已经有大量用户的App或一些政府机构App,用户注册数不是其当期业务目标的场景下，在登录或注册页面不想做图像验证码之类的输入要求，但如果真的遇到恶意攻击，程序自动注册，登录破解密码时 防护策略改怎样设计的呢? 

     同一个ip或设备某段时间内注册数限制？多次输入密码错误一定时间段内禁止登录？道高一尺 魔高一丈 完全防护是不可能的 但只是想了解 不影响注册用户体验又相对安全的解决方案