Sí querés bloquear al usuario, deberías bloquearlo en la base de datos al usuario y no al cliente... Pensá que usando cookies o sessions, es fácil borrarlo y seguir intentando, deberías almacenar esa información en el servidor