Hız sınırlaması & backoff
Hem kullanıcı bazlı (aynı e-postaya art arda denemeler) hem IP bazlı limit. Limit aşılınca üstel backoff veya CAPTCHA; aynı kimlik için 1000 yanlış deneme normal değildir, üretimde alarm tetiklemelidir.
MFA — özellikle TOTP & passkey
Parola sızdığında oturumu kurtaran ikinci faktördür. SMS phishing'e açıktır; TOTP (Google Authenticator, 1Password) makul iyi; donanım anahtarları / passkey (WebAuthn) ise phishing'e karşı dayanıklıdır çünkü kimlik bilgileri origin'e bağlıdır.
Parola hijyeni
NIST artık "her 90 günde değiştir" kuralını önermiyor. Yerine: minimum 12 karakter, ortak parola listelerine karşı kontrol (HaveIBeenPwned API), bcrypt / argon2 ile saklama, sızıntı tespit edildiğinde zorunlu reset.