Si estaba tratando con keyloggers de forma aislada, entonces podría ser posible mitigar el riesgo (por ejemplo, utilizando teclados en pantalla, 2FA o similar), sin embargo, si un atacante tiene la capacidad de instalar un registrador de pulsaciones de teclas en el sistema, es muy probable (aparte de los pulsadores de pulsaciones físicas) que tengan acceso privilegiado al sistema en cuestión y, como tal, podrían burlar cualquier otra protección que usted ponga en práctica (suponiendo que estén motivados para hacerlo)
Por ejemplo, dado que se trata de una aplicación web, supongamos que implementas 2FA, una vez que el usuario se ha autenticado, se emite un token de sesión y luego, en general, sigue siendo válido hasta que se produzca un tiempo de espera inactivo o el usuario cierre la sesión explícitamente. Si un atacante tiene acceso privilegiado al sistema, es posible que emita solicitudes de "mantenimiento" para evitar el bloqueo de inactividad y usar la inyección del navegador para anular el cierre de sesión.
Si le preocupa que los usuarios accedan a un sistema privilegiado de clientes comprometidos, la mejor solución es utilizar dispositivos dedicados / bloqueados y restringir el acceso solo a esos dispositivos.