Авторизация без возможности передать логин / пароль другому

Подскажите пожалуйста как можно реализовать примерно следующее.
Есть некая база, доступ через веб-интерфейс. Задача: авторизоваться только, грубо говоря, «подписанных» пользователей, те если один пользователь захочет передать пароль другому, то тот уже не сможет им воспользоваться. Привязка по IP нереально, ибо динам. Отправление клиенту кода подтверждения смской, как с уникальным кодом так и с неким идентификатором клиента (грубо куска иднт. сессии), тоже не вариант, так же можно переслать. Напрашивается только один вариант авторизация через etoken. Но неужели все на столько параноидально?