[sugestão] Invalidar ou dificultar tentativas de login múltiplas em um dispositivo com dados que não conferem
Por quê
Do jeito que está, alguns scripts podem ser feitos a fim de quebrar a senha de um usuario por 'brute force', e, apesar da cloudflare oferecer uma ótima proteção, isso acaba se tornando um problema em casos em que o atacante possui diversos ips e um conhecimento de que a infraestrutura passa pelo cloudflare
A ideia
Implementar uma forma de captcha, ou de dificultar(ou até dar um timeout) em um ip que tente por multiplas vezes fazer login em uma mesma conta.
Poderia ser algo do tipo:
depois de 3 erros: ter que resolver um captcha pra tentar de novo
depois de 10 erros: o ip desse usuario tentando fazer login toma um timeout progressivo
após ser reconhecido o ataque: o bloqueio desse ip que tentou fazer a invasão