Moin!

Gibt es Ansätze und/oder Ideen, die sich in der Praxis als günstig herausgestellt haben?

Ja. Je nach dem wie Dein Login funktioniert:

• temporäre Sperrung des Benutzers (z.B. 30 min nach 6 falschen Versuchen)

oder:

• Wenn Du die Mailadresse des Benutzers hast: Freischaltcode an Benutzer, der muss dann gleich neues Passwort anlegen.

und/oder

• Sperrung der IP bei besonders bösartigen (automatisiertem/parallelen) Angriff (z.B. 2. Login-Versuch innerhalb von 2 Sekunden)

Abzuwägen gilt die Gefahr des Eindringens gegenüber der Gefahr einen Benutzer zu blocken und den der Arbeit fernzuhalten.

Eventuell ist es besser, "sichere" Passwörter zu erzwingen.

Darüber kann man Bücher im Umfang eines "schlanken Tausendseiters" schreiben. Das geht hier nicht, Du musst mehr verraten wenn Du mehr wissen willst.

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix