En mi caso, prefiero no bloquear usuarios directamente, sino IP's.

Almacena en tu BD las ips de login y un contador. Si el login fue exitoso, borras la ip de la bd, sino incrementas el contador. Un campo adicional, tiempo, te servira para volver a habilitar al usuario para el login

Un saludo,