HTTPS; стойкое хеширование паролей; защита от брутфорса (rate limit, блокировка); безопасное хранение сессии (HttpOnly, Secure cookie); регенерация id после логина; 2FA для критичных операций.