Hola amigo... teoricamente podrias hacer lo siguiente...

1. Creas una variable session para contar el numero de intentos...
2. Creas una variable session para comprobar si esta logeado el usuario.

Podrias hacer algo asi...

En la pagina que recibe los datos del formulario de login, una vez comprobado si el login existe o no haces lo siguiente...

Si el login existe entonces solo creas y llenas la variable session para comprobar que el usuario esta logeado...

Si el login no existe o el password es incorrecto entonces en la variable session para contar numero de intentos le agregas un 1... y asi cada vez que intente logear le vas sumando 1 siempre a esa variable entonces con una condicion if validas que el valor de la variable session que cuenta los intentos no sea mayor que 3 de lo contrario lo mandas a un mensaje de seguridad...

Creo que es la teoria... a lo mejor existen otras formas de hacer esto.... si alguien tiene otro metodo que lo facilite...

Saludos...