Y mi pregunta es, al final han pensado en los usuarios que tienen IP dinamica? con si algoritmo les denegarán el acceso en algún momento, y lo peor que puedes hacer es complicarle la vida a tus usuarios legales para intentar mantener a raya a los ilegales, los cuales, siempre tendrán una u otra forma de saltar este tipo de validaciones...

Te equivocas, una persona que quiere secuestrar una sesión no necesita pensar en hash, algoritmos o lo que se te ocurra, si un usuario puede navegar sin problemas lo unico que tiene que hacer es duplicar la información que su navegador envia al servidor Y YA ESTA, no tiene que hacer mas, siguiendo tu lógica, el usuario legal tendría que saber como se construye el hash para que tenga una navegación fluida...