Si está utilizando HTTPS con un certificate y su aplicación está protegida de XSS , entonces no hay razón para pensar que MITM podrá ver el nombre de usuario y la contraseña enviados.
Si está utilizando HTTP, puede considerar cualquier credencial de inicio de sesión para cualquier usuario comprometido. Debería dejar de pensar en métodos de control de acceso adicionales y comenzar a solucionar esta situación, comience a usar HTTPS .
¿Has arreglado la situación de HTTPS? Bien, bien, ahora sigue leyendo.
Un área que podría observar es el uso de la detección de actividad engañosa. Si el usuario inicia sesión repentinamente desde una ciudad / país diferente, o si comienza a usar un sistema operativo y / o navegador diferente. Dependiendo de la sensibilidad de las cuentas, puede bloquear y luego enviar un código de verificación por correo electrónico / SMS / correo físico.