La maggior parte dei siti che prendono sul serio la sicurezza, cercano di identificare il momento in cui si utilizza un nuovo dispositivo (o "sconosciuto") per accedere al proprio account online. Ad esempio, quando accedi da un altro computer a mail.google.com ti chiederanno 2FA o almeno ti invierà una mail in cui affermi che hanno rilevato di aver effettuato l'accesso da una nuova posizione (con un metodo per bloccare l'accesso ).
I miei pensieri sono di memorizzare un hash casuale (o persino un token JWT) in un cookie. Tuttavia, questo pone il problema che se l'utente cancella i propri cookie verrà richiesto 2FA. Questo di per sé non è un problema, ma vorrei evitarlo se posso.
Questo mi porta forse a usare un ever-cookie (qualcosa come link ). Tuttavia, questo potrebbe essere disapprovato mentre cerco di rintracciarli per scopi oscuri.
Non riesco ad accertare quale dovrebbe essere il comportamento accettabile qui.
Opinione?