No creo que rompiendo $_POST['login'] lo solucione, por que de hecho realmente lo necesitas para loguear. Lo que se me ocurre como solución rápida es create un hidden con el time() actual, y antes de loguear verifica que ese time sea no menor al actual menos el timestamp x de tu caducidad.