Es cuestion de hacer una consulta a la base cuando va a autenticar que si los intentos son igual a 5 verificar el timestamp del horario del ultimo intento y validarlo contra el timestamp de la fecha actual, si no transcurrieron 24 horas, no autenticarlo y listo. Caso contrario, setear el intentos en 0 y la fecha del ultimo intento en null y autenticarlo. Aunque yo tendria un campo de intento_fallido y ultima_visita solamente y trabajaria con esos, mas que con 3 campos.