Грубая сила, CAPTCHA и уникальная идентификация посетителей

Некоторые веб-сайты, на которых мы работаем, прошли аудит на наличие проблем безопасности, и одна из них заключается в том, что мы не защищаем формы аутентификации от перебора.

Было решено, что мы внедрим систему CAPTCHA после нескольких неверных попыток авторизации.

Проблема, которую я сейчас копаю, заключается в том, чтобы найти, по каким критериям мы могли бы идентифицировать уникальных посетителей.

Поскольку наши пользователи часто группируются по одному и тому же IP-адресу, этого критерия будет недостаточно. Файлы cookie могут быть отключены. Где-то здесь я прочитал совет по использованию пользовательского агента и / или некоторых ключей из заголовков HTTP-запроса, но я предполагаю, что обученный хакер сгенерирует новые, когда он попытается грубо заставить наши сайты.

Учитывая, что показатели конверсии не являются аргументом для нашего веб-сайта, какова лучшая практика для выявления уникальных посетителей?

Спасибо за вашу помощь!