мне кажется, что вполне достаточно ограничиться проверкой IP:
1.ответственность за сохранность сессии должна лежать на пользователе, ибо если попа не болит, то голова ничему не учится... если спалил сессию один раз, в следующий раз будет аккуратнее.
2.какова цена данных?
2.1.если злоумышленник получит доступ к личным фоткам жертвы, см. пункт 1 - жертва виновата сама.
2.2.если злоумышленник получит список конфеток, которые любит жертва, ничего страшного и незачем заморачиваться со сверхсекъюрностью.
2.3.если речь идет о банковских счетах, тогда надо устанавливать защищенное соединение - это и будет дополнительной проверкой знакомых, родственников и бывших любовниц из Бердичева, которых мы отправили в банковскую ячейку.