Кто как защищает авторизацию на своих сайтах? У меня есть несколько проверенных вариантов, которыми делюсь, может кому пригодится.
Первое, конечно, прямой блокинг по IP / по минимальному количеству попыток — стандарт, но без этого никак. Можно настроить капчу, чтобы боты отпадали сразу, но ее надо в меру, чтобы реальным юзерам не мешала.
Второй момент — HTTPS обязателен, иначе все данные на входе летят просто в открытый текст. Без сертификата — это даже обсуждать не стоит.
Третий — двухфакторка, но ее редко кто готов вводить на простых сайтах. Хотя если сервис с ценными аккаунтами — самое оно.