[_Michael_]

Längden på nyckeln har väl i praktiken ingen direkt betydelse. Bättre att se över antalet inloggningsförsök från samma IP.
Men ur en hackares synvikel är det mycket lättare att köra en wordlistattack på lösenordet än på en unik sträng.

Att spara gilltighetstiden i databasen eller att låta cookie:n dö efter en viss period har väl ingen betydelse?

Att cookie:n raderas när man manuellt loggar ut är en självklarhet. Om att använda user agent ger högre säkerhet men leder som sagt till problem för vissa. Där är det en avägning vad som är att föredra.

Angående att matcha IP så ger det även problem för det som bär med sig datorn...

EDIT:
ISP har ju ingen koppling till användarens user agent. Det som däremot kan ändra user agent är ju uppgradering av webbläsare eller OS