dazu natürlich die ip loggen, aber das kommt aufs gleiche raus, wenn ein captcha drin ist, oder wenn nach x logins für x minuten gesperrt, dass kann man aber auch relativ leicht umsetzen, einfach die zeit x bei falschem passwort speichern, und dann halt erneuten login erst zulassen, wenn y sekunden seit dem vergangen sind.