Mahlzeit,

okay, sorry mein Fehler. Natürlich handelt es sich um eine sichere Übertragung mit SSL.

Dann reicht IMO ein einfaches Session-Login. Denn der Schwachpunkt ist dann der Mensch und das lässt sich durch deine Massnahmen nur bedingt ausschalten. TAN-Listen können weitergegeben werden, IP-Sperre umgehen ist grad mal der Reboot des Routers und eine Kreuzliste ist unsicherer als eine TAN, weil es immer das gleiche Muster ist.

Ich würde evtl. noch ein Captcha als Einmal-Code reinbringen. Auch wenn hier die Meinungen auseinandergehen, Brute-Force hat damit keine Chance, solange du keine solchen Daten hast, an die ein Spezialbot ranwill, der Captchas lesen kann.

Was Sinn macht, bei fehlerhaften Loginversuchen das Login X Minuten sperren, dadurch sinkt die Anzahl der möglichen Angriffsversuche und die zeit für ein erfolgreiches Brute-Force steig enorm.