Por isso, o token de 4 dígitos é mais fácil para o usuário lembrar do que uma senha complexa. Embora seja possível manipular o user agent, clonar completamente um dispositivo é muito mais difícil. Existem sites que mapeiam e verificam o quão único você é na web, como o AmIUnique.org/fingerprint. Esse site utiliza um cálculo estatístico para criar um hash único com base nas informações coletadas do seu IP, dados do dispositivo, configurações do navegador e outros detalhes. Quanto mais única for a combinação desses fatores, mais identificável será o seu "fingerprint" digital online
Respondendo a "isso é uma boa ideia, mas e se o usuario tiver..." dentro da publicação Como eu crie um malware que rouba todos os dados do navegador com python e nodejs
1