non essendo esperto di PHP, la butto là.. chiedo venia se dico una sciocchezza:

1) l'utente esegue il login e se il login ha successo, registri un cookie sul client utente e salvi delle informazioni di controllo anche su database;
2) ad ogni login successivo, verifichi che, i cookie settati al massimo siano 2 e che contengano le informazioni che a te servono; se queste verifiche non hanno successo, pur avendo messo user e password corrette, l'utente non accede all'area riservata

come detto in precedenza, sicuramente ho detto una sciocchezza