凭证填充不是简单的“密码输错太多次”，而是撞库、代理池、自动化脚本、弱 MFA 和异常会话共同作用的结果。本文整理登录入口的分层防护思路：密码策略、MFA、速率限制、风控日志、会话保护与产品默认安全。