Potrzebujesz tak zwanego okna próby podania hasła.
Zasadniczo 2 pola w bazie danych, jedno LastPasswordAttempt (data/godzina) i PasswordAttemptCount (int)
Następnie przy każdym logowaniu sprawdź, kiedy wystąpiło ostatnie LastPasswordAttempt i jeśli miało to miejsce w ciągu ostatnich powiedzmy 10 minut - zwiększ wartość PasswordAttemptCount, w przeciwnym razie zresetuj ją do 0 (lub 1, ponieważ właśnie się nie udało).
W tej samej logice sprawdź, czy PasswordAttemptCount jest równy powiedzmy 5 lub więcej, jeśli jest - odmów użytkownikowi dostępu. Możesz mieć trzecie pole, które blokuje je na kilka godzin lub dzień.
tj. CanLoginAfter(datetime), który możesz ustawić na dzień od ostatniej próby podania hasła.
Mam nadzieję, że to pomoże
