Если вы хотите, чтобы пользователь не пытался использовать несколько логинов и паролей, вам необходимо отслеживать IP-адрес вместе с количеством неудачных попыток входа в систему.Ips будет храниться в другой таблице, чем аутентифицированный пользователь.
Если у того же ip пользователя есть 10 недопустимых входов в систему, то вход в систему, который они вводят, не будет работать, даже если они изменят комбинацию имени пользователя и пароля.
Конечно, они могут изменить там ip в любое время, но если вы не покажете им, что они были отслежены, и сохраните форму как нормальную, и в результате получите то же самое, они продолжат попытки, но на самом деле ничего не проверяют.Все просто вернет неверные учетные данные, как обычный пользователь.Если вы хотите, чтобы они перестали молотить ваш сервер, вы можете настроить IIS для их блокировки, но это заставит их просто переключать ips.В конце концов, этот список исчерпается, и они пойдут в другое место.
вы также можете отправить электронное письмо пользователю после 3 попыток, уведомив его о том, что произошел неправильный логин, и если это не так, скажите ему выполнить какое-либо действие.Я знаю, что такие сайты, как LogMeIn, делают это.