Как защититься от передачи пользователями аккаунтов третьим лицам?

А никак. Потому как всегда найдется банальный способ все это обойти - передающий выполняет логин сам, после чего отдает управление компьютером напарнику.

От добровольного "угона" вас ничто не спасет.

1. Страшное пользовательское соглашение, где будет сказано, что за добровольную передачу своей учетной записи третьим лицами, запись может быть блокирована и безвозвратно удалена.

2. Привязка к номеру телефона и вход с подтверждением по SMS.

3. Сделать обязательным указание паспортных данные, которые будут доступны пользователю в профиле (лично). Возможность обновлять только через проверку модератором. Тогда пользователь несколько раз подумает, прежде чем добровольно передавать свои учетные данные кому-либо. Но придется и со стороны проекта усиливать меры безопасности, юридически в том числе. Проверить достоверность паспортных данных можно на сайте ФМС.

Но это лишь усложнит процесс работы с сайтом. Все равно будет возможность выполнять задания чужими руками, даже если это придется делать в режиме реального времени по Skype.

Статей таких не знаю, но вот мои размышления:
У 1 пользователя не так много мест, откуда он мог бы заходить на ресурс N, их примерно 3 (дом / работа / плашнет, мобильный телефон). Соответственно фиксировать эти 3 места и если пользователь пытается зайти с другого места, то запрещать вход, без протекции по E-mail, телефону.

Так же современные браузеры поддерживают local.storage туда записывать какое-то уникальное значение и проверять его, в случае не совпадения блокировать авторизацию.

Вы можете привязать пользователя к его машине, считав все характеристики, которые только можно считать (браузер, ОС, и т.п.). Далее зашифровать все в хэш, и сохранить в БД + куки. Минус такого подхода очевиден - при попытке войти с другого ПК доступ будет запрещен, но это можно обойти, разрешив пользователям прикреплять устройства в своем личном кабинете.

P.S. помнится, читал на хабре статью про подобный железобетонный способ идентификации, но за давностью дела не могу найти...

Очевидно, проводить тесты в специально отведенном помещении на своей технике с обязательной проверкой личности сдающего т.е. перенести вашего пользователя из виртуального пространства в реальный мир.

А от виртуальной подмены не защититься, можно лишь усложнить процесс.
Предположим сделали супер навороченную систему проверок, а дружок вашего жулика вместо него по какому-нибудь радмину сдает...