Quindi sono in procinto di creare un modulo di accesso per gli utenti e mi piacerebbe rendere le cose sicure come ragionevoli. È un sito consumer, non un sito finanziario, ma vedendo come mi piacciono le cose per essere sicuro quando accedo a un sito Web, cerco di mantenere le cose il più sicure possibile nel mio modulo.
Passi che ho preso finora:
Il sito ha un certificato SSL con il server impostato per supportare le crittografie più forti pur consentendo al malus di Internet di accedere al nostro sito (abbiamo alcuni clienti anziani, fine anno) 
La password è stata sottoposta a hash con bcrypt.
Per il modulo di login sto usando un csrf_token generato da hasing bcrypt da
- hostname
- utente ip
- session_id
- user_id
l'ID utente viene generato per ogni utente che visita sulla base del GUID quando non ha ancora effettuato l'accesso, questo viene memorizzato nella sessione al primo accesso al sito e non visibile agli utenti.
Il csrf non viene rigenerato per ciascuna richiesta di ogni pagina a causa di problemi di cronologia e, come detto, non siamo un'istituzione finanziaria e per qualsiasi plug-in è banalmente facile raccogliere qualsiasi token csrf. Questo è un passaggio che non ho bisogno di prendere per proteggere la pagina (quello che ho letto su questo sito comunque)
Lo scripting cross-site è disabilitato.
aggiunto X-Frame-Options: SAMEORIGIN intestazioni
La domanda: Ci sono altri passaggi che posso prendere / devo prendere in considerazione per proteggere il processo di interazione utente / login?