Per identificare la macchina direi solo l'IP e solo se il browser lo passa nell'user-agent.
Altrimenti, considera che il session id è diverso per ogni browser, quindi se uno fa login con un utente tu ti salvi il session id nel DB, metti un campo apposito nella tabella degli utenti, poi, quando quell'utente fa login da un'altra parte, cambi il campo session id con il nuovo, in modo che, se si prova a navigare nel browser precendente un controllo nel DB di dice che l'utente si è autenticato da un'altra parte e l'accesso è impedito. Se non sono stato chiaro dimmelo che ti faccio un esempio.