Lo mejor es implementar validaciones en ambos lados, tanto del lado del cliente como del servidor. Ajax no maneja seguridad sino es una tecnología de "comodidad". Aparte podrías hacer un sistema de bloqueos después de equis intentos, poner un captcha (el de Google esta muy bonito), habilitar cifrado ssl y cosas así.