关于登陆模块的设计

由于最近要把公司的一个内部系统放到外网，所以登陆的一系列规则有必要加固一下。请请教大家登陆模块都是怎么设计的。主要目的是为了安全，同时尽量不影响用户的体验。比如
1.验证码的失效时间设置多久比较合理。因为验证码如果一直不失效的话有可能被人抓住这个漏洞进行破解。
2.登陆失败次数的上限 账号锁定。不确定这是否有必要，像支付宝之类的登陆是做了的，也有一些网站的登陆没有这样做。我想问的是别人进行爆破的时候如果不存在失败登陆的上限 会不会爆破成功
3.同一登录态的链接跨浏览器访问的问题。简单的说就是如何在用户登出或者关闭浏览器的时候删掉登录态。并且同一个登录态只能在一个session内有效。
同时有其他方面的经验或者规则也请多指教，感谢！