Возможно, вам следует хранить (в вашем DB) посетителя IP, User Agent, часовой пояс или установленные плагины. Что-то, что может быть легко получить с помощью Javascript, поскольку получение MAC-адреса может быть проблемой.
Затем вы можете легко проверить, имеет ли пользователь тот же IP, UA, часовой пояс или плагины, что и в прошлый раз :) Или вы можете использовать MaxMind, чтобы проверить его местоположение и подтвердить, использует ли он правильный часовой пояс. Если есть что-то подозрительное, вы должны отказаться от учетных данных cookie.
я пытался хранить имя пользователя и пароль в печенье – Saqueib
OK. Это начало. Но если я перехвачу этот файл cookie, то вы останетесь открытым. Посмотрите на следующее: http://stackoverflow.com/search?q=php+session+hijacking –
Плохая идея. Мало того, что кто-либо на этой машине может читать комманду user + pass, но любой XSS, который отправляет 'document.cookie', сможет просматривать ваше имя пользователя/пароль дословно. – alex