Se l'account è stato compromesso, l'autore dell'attacco è statisticamente improbabile che lo utilizzi contemporaneamente all'utente legittimo. Rilevare account utilizzati da più postazioni e reagire a pattern sospetti può essere utile (tenendo presente che è necessario gestire l'esperienza utente sui falsi positivi), ma in particolare il rilevamento di accessi simultanei non aiuta.
Più accessi da una posizione potrebbero essere gli utenti che desiderano utilizzare un browser diverso (la probabilità che ciò dipenda in gran parte da quanto tecnici sono gli utenti). D'altra parte, potrebbe essere qualcuno che annusa attivamente su una connessione wifi. Ciò è particolarmente rilevante se il design della tua applicazione rende più facile per uno sniffer catturare il cookie dell'utente piuttosto che afferrare i suoi dati di autenticazione, ma probabilmente se stai facendo qualcosa di sbagliato, come non usare HTTPS per tutto ciò che dovresti. Nota inoltre che se l'utente malintenzionato utilizza lo stesso browser dietro lo stesso NAT, potresti non essere in grado di comunicare in modo affidabile l'autore dell'attacco all'utente legittimo.
Passare a una posizione diversa potrebbe essere l'utente che passa da un dispositivo a un altro (uscire da casa e passare alla mia cella). Potrebbe anche essere un dispositivo mobile che cambia provider IP (uscire dalla portata del wifi gratuito del campus e passare alla mia connessione 3G).
Per la maggior parte delle applicazioni, consentire accessi simultanei e trattare le connessioni da posizioni insolite (non necessariamente simultanee) come sospette. Una notifica (non spaventosa ("sei stato violato") o dirompente (un banner, non un popup modale), solo informativo) di posizioni precedenti e concorrenti può avvisare l'utente; assicurati di fornire un modo per l'utente di scoprire cosa dovrebbe fare se pensa che stia succedendo qualcosa. Alcune applicazioni come il banking dovrebbero utilizzare regole più rigide, ma non è la norma.