Se utilizzi HTTPS con un certificato e la tua applicazione è protetta da XSS quindi non c'è motivo di pensare che MITM sarà in grado di vedere il nome utente e la password inviati.
Se si utilizza HTTP, è possibile considerare qualsiasi credenziale di accesso per qualsiasi utente compromesso. Devi smettere di pensare a metodi di controllo dell'accesso aggiuntivi e iniziare a correggere questa situazione, inizia a utilizzare HTTPS .
Hai risolto la situazione HTTPS? Bene, bene, ora continua a leggere.
Un'area che potresti esaminare utilizza il rilevamento di attività speciose. Se l'utente si collega improvvisamente da un'altra città / paese o se inizia a utilizzare un SO e / o un browser diverso. A seconda della sensibilità degli account, è possibile bloccare e quindi inviare un codice di verifica tramite e-mail / SMS / posta fisica.