Beh se l'utente non è registrato in un db e non c'è un sistema di login, direi che l'unica siano i cookies. Altri modi di riconoscere un utente "anonimo" sono le sessioni, ma scadono...oppure l'IP ma la maggiorparte sono dinamici (e cmq se uno si connette da un PC diverso non lo riconosce).

Direi solo i cookies insomma