Claro, el problema como te digo es que un atacante podría bloquear a varios usuarios. Si un atacante quiere amargar la vida a un usuario, podría estar bloqueándole la cuenta varias veces al día. Por eso digo que BBDD con nombre de usuario + IP me parece una solución intermedia.

Aun que parezca que entrar al email porque han bloqueado mi usuario es algo sencillo, para muchos usuarios es costoso.

Tambien he pensado en sacar un hash con toda la información del ordenador que intenta acceder, es decir, ip más datos del navegador, más localización, etc. Pero no se si es factible.