• Verzögerung der Antwort, ggf. in Abhängigkeit von der Anzahl der Fehlversuche per IP und/oder Username ansteigend.
• (Zeitweise) Sperrung von IPs bei solchen Attacken, welche regelmäßig DDoS-Attacken ähneln.
• Zweifaktor-Authentifizierung
• Vorschriften bezüglich Länge und Komplexitätsmaß des Benutzernamens und Passworts.

Letzteres habe ich bereits implementiert. Hier könnte man natürlich noch darüber sprechen, welche Vorgaben gemacht werden sollten. Klein- und Großbuchstaben, Ziffern, Sonderzeichen, Mindestlänge, keine drei gleichen Zeichen hintereinander oder so was. Am Ende hängt es aber trotzdem vom Benutzer selber, dass er nicht P4$$w0rd als Passwort verwendet.

Die ersten beiden Absicherung müssten wohl auch relativ einfach umzusetzen sein. Ob eine Zwei-Faktor-Authentifizierung bei meiner Website nötig ist, weiß ich nicht. So vertraulich sind die Daten eigentlich auch wieder nicht.

Grüße
Boris