Entonces tendrás que guardar los máximos datos posibles que identifiquen al usuario que esta haciendo esos intentos.. todo depende de cómo lo quieras hacer.

Por ejemplo, IP, navegador, sistema operativo.. y entonces tu en tu bbdd guardas cada intento de acceso en la bbdd, con un boolean del tipo, acceso correcto o no correcto. Después tendrás que establecer en que rango de tiempo vas a consultar el último acceso para proceder al bloqueo, si tu consulta devuelve x (en tu caso 2), no dejas hacer el login.

Entiendes?