Servus Olli,

das Backend ist für 5 User? Eine IP Sperre und eine Mindestlänge der Passwörter von z.B. 8 Zeichen reicht da eigentlich für Brute Force Attacken, eventuell ein Captcha.

Jeder Buchstabe als Case-Sensitive ergibt bei Verwendung deutscher Buchstaben allein schon 59 Möglichkeiten. Bei einer Passwortlänge von 1 ist das 59, bei einer Länge von 2 ist das schon 59*59 = 3481 Möglichkeiten eines 2 stelligen Passworts. Nimmt man die Zahlen mit rein von 0-9, sind bei einer Passwortlänge von 1 schon 69 Möglichkeiten gegeben, ab 2 Buchstaben sind es 69*69 = 4761, nimmst du noch Sonderzeichen hinzu hast du schon einiges. Und je länger das Passwort, umso mehr Möglichkeiten werden abgeklappert. Bis dahin hast du schon zahlreiche IPs gesperrt.

Selfhtml kommt z.B. auch ohne TAN-Listen aus und die haben aufgrund der Bekanntheit viel mehr Attacken zu fürchten. Ich gehe nicht davon aus, dass deine Seite für Angreifer so interessant ist, dass sie mit Spezialequipment anrücken um deine Seite zu knacken.

Wichtig ist, dass keine Sicherheitslücken, insbesondere durch SQL Injections möglich sind. Nutze dafür am besten PDO (wenn du mit PHP arbeitest).
Und schließe die Sicherheitslücke "Benutzer" z.B. durch Informieren. Brute Force Attacken gehen meistens garnicht mehr nach dem Prinzip bei a anzufangen, sondern mit Passwörtern wie "$|CH€R€$ P/$$W0RT', "Geheim", "Test123" usw. ;-)

Vergiss nicht, dass ihr eure Seite auch nutzen möchtet und kein Bankkonto eröffnen wollt.

lg,
Rowland