Evet, precomputed saldiri yememek icin salt kullanmali ve md5, sha gibi hizli hashing fonksiyonlari kullanmamalisin. PBDKF ya da scrypt gibi slow hashing fonksiyonlarini yeterince randomize bir salt ile birlikte saklayabilirsin. Salt'in kendisini encrypt etmene gerek yok her zaman unique olduktan sonra. Bunu da duzgun bir password policy ve rotasyon kombini ile pekistirirsin guzel bir sistem olur.
Ayni IP adresinden ya da ayni kullanici sifresine yonelik fazlaca denemeye karsi request drop edersin. Ek olarak time based saldirilara karsi da savunma olarak sistemin cevap suresini sabitlersin. Yani bir sunucunun cevap verme suresinden credential combosunun DB ye hit edip etmedigini analiz eden toollar da var.
Ayrica gerekmedikce "sistemde bu kullanici bulunamadi" vs gibi hatalar return etmemelisin. ( SSO vs kullanmiyorsan ) "Hatali giris" vs gibi jenerik ve minimal bilgi iceren hatalar olunmali. Elinde email listesi bulunan bir saldirgan sisteminde hangi kullanicilara dair veri oldugunu anlayamamali.
