Una opción, es que agregues en tu tabla de usuarios de la base de datos un campo "intentos" o algo así, y que por cada intento fallido lo incremente, si llega a dos la próxima vez que intente logear directamente que no pueda.

Podrá seguir intentando registrarse y navegando por la web, pero supongo que lo que te importa es evitar un ataque por fuerza bruta.

Otra opción es usar captchas.