主流かどうかは知らんが、アカウントに許可IPアドレスを設定するのは普通にある
メジャーなプロバイダならログもちゃんと管理してるだろうから、パスワード漏れ等でログインされても
追いやすいって話じゃね

つうか1で判断ってセッションハイジャック防止とかノーガードか?