y cual de todos esos pasos no te funciona??

1.- el match del usuario contra la bd es un simple select con una clausula del where de usuario y password , con el valor añadido de encriptar la contraseña para evitar vulnerabilidades.

2.- IF ValidoCredenciales(usuario,password) = TRUE
...Permitir.. Acceso

3.- ELSE ' DEL IF ANTERIOR
IF numerodeIntento= 3
Registrar en la BD o en el registro de windows o en un archivo de configuracion o en donde tu quieras que los intentos se han excedido.


claro le faltan muchas cosas (muchisimas , pero es una idea), para que resuelvas tu problematica.

ahora si, que es lo que no te sale??