teknik değilde mantık olarak bahsediyorsanız,

captchaya ek olarak 3-5 kere yanlış girildiğinde ilgili ip ye 15-20 dk ban atılabilir. ayrıca üyelerin şifrelerini sha1 md5 gibi algoritmalarla bir kaç kere süzerek ve birşeyler ekleyerek veritabanına şifreli kaydedebilirsiniz. Üye kayıt ve login dışında ise şifremi unuttum kısmınada ekstra önlemler almalısınız en çok hesap çalmaları zaten şifremi unuttum kısmından yapılıyordur. şifremi unuttum kısmı için ekstra bir güvenlik sorusu yada mobil onay vb işlemler yapılabilir.