Варианты:
ИП - отпадает сразу, думаю обьяснения излишни
ЮА - как вариант! Пример
<?php
$dataCode = md5($uid);
$dataHash = md5($ua.$uid.$upass);
setcookie("code",$dataCode,time()+10000);
setcookie("name",$dataHash,time()+10000);
//auth
$res = query("SELECT `id`,`pass` FROM `user` WHERE `code`='".$dataCode."' LIMIT 1");
If(!$res){
//stop
}else{
$data = $res->fetch_object();
if($_COOKIE['name'] == md5($ua.$data->id.$data->pass){
//session write
}
Чо-то типа того..
Соль и т.п по аналогии. .
Думаю что еще добавить /заменить