Mahlzeit,

1. IP-Sperre bei zu vielen LogIn versuchen
2. zusätzliche TAN-Liste zum einloggen
3. Ein Kreuzliste, wie sie z.B. bei Schufa-Online gefragt ist

Da in deiner Liste nicht SSL (https) als Punkt 1 auf der Liste steht, ist dein Konzept fehlerhaft. Immerhin sprichst du von sensiblen Daten.

1. macht kaum Sinn weil leicht zu umgehen
2. dürfte (vorallem ohne SSL) den Aufwand-Nutzen-Faktor in den Keller befördern.
3. siehe 2.