Если кто-то действительно пытается использовать грубую силу, он может иметь ряд IP-адресов для работы.То, что вы могли бы сделать, - это увеличивать задержку после каждой попытки и указывать имя пользователя.CAPTCHA можно победить (в различной степени), поэтому установите порог капчи, порог «замедления», а затем просто заблокируйте его на час.
Обратите внимание, что грубое форсирование таким способом невероятно глупо, поэтому я быбольше беспокоиться о том, что злоумышленник получит копию паролей из базы данных с помощью инъекции или чего-либо еще.