1. ввести ограничение на количество ошибок при вводе пароля
2. если максимальное количество ошибок достигнуто - банить ip-адрес на время
--------
вариант проще - поставить капчу, например, от гугла
+ что бы кулхацкер не начал юзать прокси, можно не показывать ему ошибку "мол количество попыток завершено" а выдавать ту же страницу "юзер не найден" но уже не производить поиск по базе.
Ну тут уже можно фантазию применить. А идея подойдет для любого сайта который подвержен парсингу и т.п.
Можно поиздеваться выдавая фейковую инфу для ip который был замечен в мутном поведении. Главное только с ботом ПС не перепутать.
