1.可以設(shè)置密碼復(fù)雜規(guī)則（包含字母+特殊符號(hào)+數(shù)字+大小寫）
2.設(shè)置控制同一時(shí)間段內(nèi)密碼錯(cuò)誤登錄次數(shù)

可以對(duì)賬號(hào)與常用ip綁定 新的ip 進(jìn)行驗(yàn)證碼驗(yàn)證 至于破解難度 就看你驗(yàn)證碼的難度了 也此基礎(chǔ)上加上頻率限制

就是校驗(yàn)驗(yàn)證碼，但不是每次都校驗(yàn)，只有登錄錯(cuò)誤次數(shù)超過(guò)一定限制(比如說(shuō)3次)，才會(huì)要求校驗(yàn)驗(yàn)證碼。
即保證了用戶體驗(yàn)，也保證了系統(tǒng)安全。

拖動(dòng)驗(yàn)證碼的體驗(yàn)，還是不錯(cuò)的。
淘寶或者阿里云上經(jīng)常，能看到鼠標(biāo)拖動(dòng)的驗(yàn)證碼

第一，如果是開(kāi)發(fā)API建議加入【訪問(wèn)頻率】設(shè)置。例如，如果設(shè)置頻率限制為每分鐘1000次（可以是某個(gè)端口，每個(gè)ip等等），如果一分鐘內(nèi)超過(guò)這個(gè)限制，那么服務(wù)器就會(huì)返回 429: Too Many Attempts.響應(yīng)。
第二，關(guān)于偽造IP地址的防范。你可以發(fā)送請(qǐng)求到對(duì)方ip地址，偽造的ip地址沒(méi)有任何response，其次，如果在PHP里面$_SERVER['REMOTE_ADDR']是沒(méi)有辦法被偽造的，除非用代理，但是PHP一樣可以檢測(cè)代理，然后結(jié)合IP地址可防范泛洪攻擊。

訪問(wèn)頻率限制建議插件：https://github.com/GrahamCamp...
IP檢測(cè)：

       $_SERVER['HTTP_X_FORWARDED_FOR']
       || $_SERVER['HTTP_X_FORWARDED']
       || $_SERVER['HTTP_FORWARDED_FOR']
       || $_SERVER['HTTP_CLIENT_IP']
       || $_SERVER['HTTP_VIA']
       || in_array($_SERVER['REMOTE_PORT'], array(8080,80,6588,8000,3128,553,554)))
       || @fsockopen($_SERVER['REMOTE_ADDR'], 80, $errno, $errstr, 30))
    {         
    echo "你丫歇菜吧！";
    }