Уважаемый @BlackSprut
Моё предложение может показаться безумным и нелепым, но хотя бы прислушайтесь.
3fa, или метод как войти в учётную запись таким образом, что бы сбросить все предыдущие и текущие активные сессии, допустив в профиль только пользователя, первым введший ключ
То есть. Добавить в настройках возможность для пользователя подключить второй ключ (3fa) (гугл/pgp) отличный от первого, который несёт в себе функцию:
после ввода первого ключа, пользователь должен будет вести второй ключ аутентификации
При вводе второго ключа, система должна станет автоматически прожимать функцию "подтвердить".
после успешной проверки второго ключа доступа сбрасывать все сессии этого профиля, кроме, пытающегося войти пользователя введший 2 ключ доступа успешно, первым.
То есть, устроить этот опционал и связать его с точным мировым временем вплоть до 0.000001 секунды. Наверное таким образом система сможет определить кто есть пользователь, а кто рыбак. И по возможности рыбаку сломать вообще весь функционал доступа к сайту по его отпечатку. При этом оповещая пользоваться (после верификации), количество закрытых сессий, количество неуспешных входов в систему. Потому как, только таким способом можно дать понять пользователю сигнал о смене пароля к своему аккаунту. Сменмть впн, устроить своему устройству тотальную проверку на вирусы
опционально: дать право пользователю на запрет параллельных сессий при включённом режиме 3fa.
С вашего дозволения хочу продублировать суть моего предложения в форуме на флудилке, что бы дать возможность пользователям форума что-либо дополнить, или просто её обсудить.
Благодарю Вас, с уважением. Broadsoniens