Обнаружение злоупотребления учетными данными

Привет.

Я веб-мастер для небольшой, растущей промышленной ассоциации. Вскоре мне нужно будет создать для сайта ограниченный раздел только для членов.

Проблема в том, что в нашу организацию входят как крупные компании, так и любительские "клубы" (это относительно новая отрасль…).

Понятно, что эти клубы будут использовать идентификатор входа, который они будут использовать для входа на наш сайт. Проблема состоит в том, чтобы определить, будет ли один из их членов предоставлять учетные данные для входа людям, которые обычно не должны были бы посещать веб-сайт (у такого клуба нет никаких возражений против того, чтобы все его члены попадали на веб-сайт).

Я думал о регистрации вместе с каждым входом в IP-адрес, а также ОС и используемый браузер; если операционная система / браузер остается постоянной и, скажем, не более 10 различных IP-адресов, эта учетная запись явно используется очень немногими различными компьютерами.

Но если существует 50 комбинаций ОС / браузера и 150 разных IP-адресов, учетные данные, очевидно, были распространены далеко, и тогда возникнет причина для действий, таких как изменение пароля.

Конечно, это очень раздражает, когда ваш пароль меняется в одностороннем порядке. Итак, для решения этой проблемы я подумал о том, чтобы разрешить "клубам" управлять своим собственным списком дополнительных учетных записей, и, следовательно, если подозревается злоупотребление, ответственный пользователь будет легко зафиксирован, и один этот "дополнительный член" будет столкнуться с раздражением смены пароля.

Вопрос: Какие потенциальные проблемы кто-нибудь увидит при таком подходе?