si a la tercera vez que ponen la contraseña no aciertan, puedes redirigir a ese usuario a otra página tuya que ponga ERROR o lo que se te ocurra para ello donde pone:

if (web.toLowerCase()!="otra" &yoka ==3) history.go(-1);
pon esto otro:

if (web.toLowerCase()!="otra" & yoka ==3) location.href = "error.html"; donde pone error.html pones el nombre de la pagina que tu kieras.