Я знаю, что в последней версии Spring-Security-Core (1.1.3) есть обратный вызов LoginController.authfail. У вас есть доступ к имени пользователя, так что вы можете сохранить количество последовательных неудачных попыток входа в систему в качестве поля в сеансе. Если значение равно 2, ваша страница login/auth.gsp и метод LoginController.auth могут быть обновлены, чтобы отобразить этот новый вопрос и обработать его при отправке формы.
Не зная больше подробностей, трудно сказать, будет ли это делать все, что вам нужно, но, возможно, стоит взглянуть.