Voglio implementare qualcosa di simile a gmail, in cui l'accesso da un nuovo dispositivo farà sì che l'utente confermi che è attraverso una qualche forma di MFA. Tuttavia, non sono sicuro di cosa usare per determinare che un nuovo dispositivo è stato utilizzato su diversi sistemi e dispositivi (ad esempio, desktop, tablet, ecc.)
Il mio primo pensiero è stato quello di utilizzare l'indirizzo IP pubblico, ma questo può cambiare molto frequentemente, quindi non è molto utile.
Il mio secondo pensiero è usare l'IP privato. La memorizzazione degli IP privati degli utenti è una cattiva idea?
C'è una terza opzione migliore?
Modifica: per chiarire, desidero sapere quali dati utilizzare per determinare se un nuovo dispositivo viene utilizzato o meno (non come autenticare l'utente dopo aver determinato che viene utilizzato un nuovo dispositivo).