La mayoría de los sitios que toman en serio la seguridad, intentan identificar el momento en que utiliza un dispositivo nuevo (o "desconocido") para iniciar sesión en su cuenta en línea. Por ejemplo, cuando inicia sesión desde una computadora diferente a mail.google.com, le pedirán 2FA o, al menos, le enviarán un correo indicando que lo detectaron desde una nueva ubicación (con un método para bloquear el acceso ).
Mis pensamientos son almacenar un hash aleatorio (o incluso un token JWT) en una cookie. Sin embargo, esto plantea el problema de que si el usuario borra sus cookies, se le pedirá 2FA. Esto en sí mismo no es un problema, pero me gustaría evitarlo si puedo.
Eso me lleva a utilizar una cookie de siempre (algo como enlace ). Sin embargo, eso podría ser mal visto como yo tratando de rastrearlos con propósitos oscuros).
No puedo determinar cuál debería ser el comportamiento aceptable aquí.
Opinión?