Si le sessioni sono su server, ma qualcuno potrebbe usare fastweb ed avere lo stesso ip del vicino di casa.
Puoi bannare qualcuno solo se coincidono sia cookie che ip allo stesso tempo. Altrimenti rischi di sbagliare.

Non ci sono altri metodi, a parte questo dei cookie e il controllo dell'ip, che io sappia.
Con php non credo tu possa prendere altri dati, almeno da quel che so io.

Eventualmente se non vuoi fare un software, crea un pacchetto zip con dentro uno zip le immagini del sito e alcuni files. Crei una semplice skin che loro caricano da client e non da server, aumenti i tuoi online e dentro ci metti un vbscript, che raccoglie alcuni dati su quel pc. Ogni volta al login fai eseguire lo script al client che ti manda alcuni dati.

Bada però, sto parlando ipoteticamente, perchè non so quanto questa cosa possa essere legale, so che alcuni siti di una famosa azienda tedesca di browsing game usano controlli tramite skin, ma non mi sono mai messo a smontarli. Ti consiglio di contattare altri amministratori di siti simili e vedere se loro hanno fatto qualcosa di diverso.