Да полно, так на вскидку накидаю:
1. User-agent - если пытается авторизоваться не браузер, а фиг знает что, то брут.
2. Частота запросов - ни один пользователь не будет 10 раз в секунду вбивать пароль.
3. Сами пароли - если идёт последовательный перебор букв и цифр - логично что это брут.
4. Реферер - надо отслеживать, передает ли клиент ссылку со страницы, с которой пришел и если передает, то корректна ли она.
5. Поддержка JavaScript у клиента. Ну тут не факт конечно, может пользователь параноик и отключил JS.
6. Проверка через JS разрешение экрана, и т.д.
Ну вроде все.
Как вариант можете ещё по IP смотреть. Если скажем у вас тематика направленная на RU сегмент, а лезет кто-то из Китая, то возможно это бот, хотя сейчас многие под VPN или прокси сидят, ну или человек реально сейчас в Китае.