Si la cuenta ha sido comprometida, es estadístico que el atacante no la use al mismo tiempo que el usuario legítimo. Puede ser útil detectar cuentas utilizadas desde múltiples ubicaciones y reaccionar a patrones sospechosos (teniendo en cuenta que es necesario administrar la experiencia del usuario en falsos positivos), pero detectar específicamente los inicios de sesión simultáneos no ayuda.
El inicio de sesión múltiple desde una ubicación puede ser que el usuario desee utilizar un navegador diferente (la probabilidad depende en gran medida de la técnica de sus usuarios). Por otro lado, podría ser alguien que esté olfateando activamente una conexión wifi. Esto es especialmente relevante si el diseño de su aplicación hace que sea más fácil para un rastreador agarrar la cookie del usuario que obtener sus datos de autenticación, pero podría decirse que si está haciendo algo incorrecto, como no usar HTTPS para todo lo que debería. Además, tenga en cuenta que si el atacante está utilizando el mismo navegador detrás del mismo NAT, es posible que no pueda decirle al atacante de manera confiable el usuario legítimo.
Cambiar a una ubicación diferente puede ser que el usuario cambie de un dispositivo a otro (saliendo de casa y cambiando a mi celular). Incluso podría tratarse de un dispositivo móvil que cambia de proveedor de IP (salirse del alcance de la conexión wifi gratuita del campus y cambiar a mi conexión 3G).
Para la mayoría de las aplicaciones, permitir inicios de sesión simultáneos y tratar las conexiones de ubicaciones inusuales (no necesariamente simultáneas) como sospechosas. Una notificación (no de miedo ("has sido hackeado") o disruptiva (una pancarta, no es una ventana emergente modal), solo informativa) de ubicaciones anteriores y concurrentes puede alertar al usuario; asegúrese de proporcionar una manera para que el usuario averigüe qué debe hacer si cree que algo no está sucediendo. Algunas aplicaciones, como la banca, deberían usar reglas más estrictas, pero esa no es la norma.