ยกระดับขึ้นมาอีกก็เลือกใช้ระหว่าง OAuth, หรือ Multi factor authentication เข้ามาผสานกับ Device cookie.
ถ้าใช้ OAuth ล้วนก็สบายหน่อย โยนภาระไปให้ปลายทาง เช่นใช้ Google OAuth ก็ให้ Google เขาจัดการเรื่องความปลอดภัยให้อยู่แล้ว.
ถ้า account Google โดนแฮ็คหรือปล่อยให้แฮ็คได้ ก็คือจบ แค่นั้น. แต่ยากเพราะเขาปลอดภัยสูง นอกจาก user ประมาทเอง