Тут смотря что за сайт, какие цели преследует пользователь, как это осуществляется... и нужно ли это все.
1) Сначала нужно определить функционал сайта, чо пользователи там могут делать.
2) Возможно он выполняет некие повторяющиеся действия, по которым и можно узнать человека(стиль комментариев/постов, аватарки, никнеймы, активность, поочередность авторизации, язык интерфейса, размер экрана, скорость набора текста).
3) А почему это нужно отлавливать? Принципиальность? Это на конкретного человека нацелено, или на фильтрацию общей массы? Важно 100% гарантия или достаточно подозрений?
4) А оно того стоит? Если человек так старается, то может у него есть веские причины? Наверное и у вас есть веские причины на запрет мультиаккаунта? А что говорит бюджет, стоит ли деньги и время тратить на это? Может устранение проблемы потребует больших затрат, чем существующие потери?
5) Может затребовать больше данных для определения, что это не твинк? Паспорт, беседа по видеозвонку? Личная встреча? Выделенная линия для строго определенного человека? Мы не знаем, что за сайт. Может это интернет-казино, где для вывода денег нужны паспортные данные(те частенько дают несколько баксов бесплатно для заманивания). Или внутренний сайт? Например у нас в универе идет регистрация для подключения к универ.инету только через заявление, студенческий, ноутбук/телефон(привязка к макадресу) с документами на него.
Все слишком индивидуально
