А как её помимо логина и пароля надо защищать?
Если бояться брута логина и пароля, то оно и для пользователей небезопасно получается, и проблема уже не в том что нет еще какой-то защиты.
А прикручивать всякие дополнительные уровни практически нет условий.
По IP - динамика у всех фирм средней паршивости(мобильный интернет)
Active Directory/LDAP - аналогично, там стоят пиратки всякие и вообще нет никакой структуры ITшной.
Больше не знаю что еще можно прикрутить, если только еще один логин и пароль.
Как защищается админка wordpress/octobercms/joomla и другие? Из коробки никак.
А все что сверху запиливают сложные редиректы, нестандартные пути в админку и т.д. это
вообще не защита 
