Was hängt denn da dahinter?
So pauschal funktioniert das leider nicht mehr. "gar nicht" würde irgendeine Form von browserübergreifendem "permanent cookie" erfordern, aber sowas ist wegen "security" nicht mehr möglich, sprich mit etwas Aufwand kann man über simples username+pw und etwas Scripting mehr oder weniger "alles" umgehen.
Wenn(!) ihr genug Kontrolle habt über die Benutzer, dann wäre erweiterte Authentifizierung eine Option. Sagen wir über ein Hardwaretoken, das ein Benutzer in die Hand kriegen muß. Oder via Clientzertifikat. Irgendwas, wo du weißt, ein Benutzer X hat exakt ein Zugangstoken Y und nur das. Hat er es nicht, darf er nicht rein.
Aber das geht natürlich nur in einer eher geschlossenen Umgebung. Je offener das wird, desto schwieriger. CB hätte z.B. viel Spaß, jeden potentiellen Nutzer erst noch zu authentifizieren und ihm dann irgendeine Form von Token in die Hand zu drücken, nur damit derjenige keinen Doppelaccount erstellen kann (oder einen auf Impersonation machen kann).
PS, die Geschichte mit Impersonation ist immer noch überall ein Problem, wobei das teils mit MFA abgefedert wird. Auch heute noch kann fast jeder einen unbekannten Dritten einfach kaltstellen. Wird nur sehr wenig gemacht.