верно верно + )

когда-то может и было все так просто UA + IP хотя по гео схожий)

да и не совсем так было то)

так как кроме UA и IP есть такие вещи как

Browser Plugin Details

Windows Media Player Information

Microsoft Silverlight Information

Date and Time Information, Time Zone

Component в частоности IE

Ajax Support + AdobeR

Browser Capability Information

.NET Framework

Gecko Движки

Установленные Add-ons

DNS

Screen Size and Color Depth

System Fonts

Limited supercookie

Access-Control-Allow-Origin header

Hostname binding (local tunnel)

Local Proxy gnix

Даже! Cursor инфа

И это далеко не весь список...

И ЭТО многие активно используют для идентификации. Не стоит думать что там дураки сидят и все мы такие классные что подменив UA заходим ИНОГДА!)

По большей части это все конечно для мониторинга, но не используется в целях идентификации, в отличии как у гугла или того же новенького FMC яндекса.

Почему? Ответ ведет нас к миллионам и более людей (для компаний они "клиенты")... Разве так сложно понапихать 2fa обязательных, требовать супер пароли, smart card и тд и тп для авиторизации? Да, сложно, ибо этим как раз миллионам "клиентам" не понравиться то, что им не дают выставлять годами возлюбленные пароли типа Qwerty, 123456 и просто откажутся от использования сервиса..

Вот поэтому и постепенно внедряют системы, которых по сути обычный пользователь никогда и не заметит, будет также заходить с паролем qwerty, но если проведут огромнешую работу над системой защиты и статистики, то он безусловно будет в такой-же безопасности как и юзер на другом ресурсе с пароле {doаZZ]\оК;№")#(@ где всем по.. на их конф. инфу.

p.s. ну конечно утрировано про qwerty и стронг пасс, но главное суть отражена ярко)