Почему «глупо» использовать информацию для проверки подлинности на стороне клиента, вот откуда вы получите имя пользователя и пароль и, вероятно, уже доверяете этому
Невозможно получить MAC-адрес пользователя, если вы не находитесь в той же сети, и сеть разрешает такой поиск с использованием ARP
Вам, вероятно, придется использовать куки для этого, и просто убедитесь, что не удалите их, если конкретный браузер является «доверенным». Если вы считаете, что пользователи могут делиться файлами cookie друг с другом вместе со своими именем пользователя и паролем, вы можете закодировать некоторые другие специфичные для браузера поля (точный заголовок UA?) В файл cookie, чтобы добавить больше данных, которые можно использовать, чтобы определить, является ли клиент доверенным