Prototipo. El login en frontend no es seguridad real. La autenticación real, MFA real, el bloqueo de usuarios cliente y el aislamiento por cliente requieren backend. Las contraseñas y tokens reales nunca deben guardarse en HTML/JS/localStorage. Lo que sí es real aquí: hash de la clave, cifrado AES-GCM del almacén local, bloqueo por intentos, expiración de sesión.