Originariamente inviato da Corvus
pensavo fosse in grado di ingannare proprio i tentativi di intrusione tramite forza bruta, non capisco cosa intendi per "mantengono le sessioni", comunque la rigenerazione della sessione non centra con i tentativi di attacco tramite forza bruta.
Hai scritto: almeno che non si chiude il browser e poi lo si riapre. Ovvero, a meno che NON venga propagata la sessione tra un tentativo e quello successivo, cioè quello che solitamente fa un attacco a forza bruta (oltre a simulare diversi user agent, IP tramite proxy, etc.).

Originariamente inviato da Corvus
Quale soluzione conosci altrimenti?
Salvi nel DB i tentativi di login falliti, dopo 5 fallimenti consecutivi blocchi l'account, avverti l'amministratore ed informi l'utente che il suo account è stato bloccato.

Originariamente inviato da Corvus
Serve a non far girare dati utili nelle variabili di sessione.
Per la gestione dell'autenticazione, di norma in sessione va salvato l'ID dell'utente ed eventualmente il ruolo che ricopre (a seconda del tipo di sistema implementato). Tutto il resto non ha molto senso a meno che non lo spieghi più nel dettaglio.

Originariamente inviato da Corvus
Non volevo fare nulla che fosse meglio di redirect, ma visto che ho voluto fare tutto nello stesso file era un accorgimento inevitabile, più che altro mi piacerebbe essere certo se ha lo stesso valore di sicurezza di redirect.
Quello che hai scritto non ha molto senso. Se le sessioni si propagano, la sicurezza non ha molto a che fare con eventuali "redirect".

Originariamente inviato da Corvus
Grazie molto del consiglio, anche se già lo sapevo, poi ritengo che è meglio non usare l'IP e magari basta anche solo user agent o meglio un valore criptato di user agent, ma quello volevo dire solo era uno dei "tallone di achile" del complesso.
Se l'attaccante è in grado di intercettare la sessione, allora sarà in grado di intercettare e riprodurre anche l'user agent. Ben diverso è l'IP che richiederebbe tecniche ben più avanzate (man in the middle, IP spoof, etc.).

Perchè hai questa mania di inserire contenuti criptati in sessione?
Se il server è configurato correttamente, i dati in sessione sono inaccessibili a meno di conoscere il sid ed essere in grado di bypassare i livelli di sicurezza aggiuntivi (IP, etc.).