Вы можете привязать пользователя к его машине, считав все характеристики, которые только можно считать (браузер, ОС, и т.п.). Далее зашифровать все в хэш, и сохранить в БД + куки. Минус такого подхода очевиден - при попытке войти с другого ПК доступ будет запрещен, но это можно обойти, разрешив пользователям прикреплять устройства в своем личном кабинете.
P.S. помнится, читал на хабре статью про подобный железобетонный способ идентификации, но за давностью дела не могу найти...