Potresti fare anche un controllo a livello di ip.

Utente 1 è collegato dal pc 1 con indirizzo ip xxx.xxx.xxx.xxx, utente 2 usa i dati di utente 1 dal pc 2 con ip yyy.yyy.yyy.yyy.

Caso 1) Fai loggare il pc 2 e fai "sloggare" il pc 1.
Caso 2) Se non è passato almeno X tempo dall'inattività (quindi dovresti segnarti ogni attività dell'utente) non puoi fare il login da macchine differenti da quella storata a database (indicato come ip).

Personalmente non sapendo niente di più del tuo caso ti consiglierei il caso 1. in questo modo se sei su internet e non in una intranet hai meno problemi di gente che ti manda messaggi per chiederti di sbloccarli.