[ric]

Är inte jätteinsatt, men jag hade nog gjort så som du säger att bara en användare/ip får vara inloggad(aktiverad) samtidigt. Sen skulle du kunna jämföra tidpunkt-konto-ip och banna automatiskt/manuellt användare/konto som försökt logga in samtidigt med två ip.
Det innebär att de kan missbruka tills de blir upptäckta. Skulle själv föredra att manuellt besluta om banna konton, så att inte misstags görs om en och samma person loggar in med en annan ip för att session inte tagit slut på den andra. Dock skulle man kunna göra så att man får statistik och varningar om kontomissbruk.