Wenn sich Fritz und Franz einen Zugang unter einem Usernamen teilen, kann ich eh nichts machen.

Und hier siehst du die Grenze. Wenn du Menschen und nicht User identifizieren willst, musst du zu einer dafür geeigneten Identifizierung greifen.

Ohne ein solches System müsste man mit One-Time Passwords operieren.
Jeder erhält ein Kontingent OTPs. Wenn er einem anderen den Useracount mitteilen will, muss er zwangsläufig ein Passwort abtreten.
Missbrauch wäre also nur über eine befristete Zeit möglich.

mfg Beat