a ver, tienes un mal concepto sobre seguridad en cuanto a peticiones de inicio de sesion se refiere, si vas a basar tu sistema de "seguridad" en algo que el usuario fácilmente puede burlas vas mal, mejor regresa a la mesa de planeacion.

Todo sistema de verificación de inicio de sesión se hace en el servidor, en un contador en la base de datos. Te preocupas porque las cookies son vulnerables, pues te informo que tu sistema a base de sesiones para lo que quieres es igual de vulnerable, cualquier usuario que borre las cookies puede hacer los intentos que se le de la gana, en cambio, si el sistema lleva un contador backend en la base de datos es imposible que un usuario se salte la validación