IP можно подменить (хотя для многих взломщиков это уже что-то за гранью фантастики, конечно).
Впрочем, "не панацея" - не значит "плохая идея". На многих сервисах (включая почтовые) сейчас ведут логи сессий, позволяющие видеть IP и устройства, с которых заходят на аккаунт. Google тот же крик поднимает с рассылкой писем на вспомогательные адреса, если вдруг IP не тот, а Facebook может и вовсе заблокировать учетку. Но с такими предложениями лучше обращаться напрямую к англоязычной администрации.