Hola:

Este foro tiene un sistema de login que me pareció muy bueno. Cuando yerras la contraseña te indica cuantos intentos te quedan, al estilo "Intento 1 de 5". Creo que puede utilizar algo similar para advertir a los usuarios torpes.
Por otro lado, todo ataque por fuerza bruta intentará ser lo más rápido posible para probar mayor cantidad posible de contraseñas en el menor tiempo. Puedes utilizar esto para discriminar un usuario de una máquina. No es lo mismo detectar 5 intentos fallidos en 30 segundos que 10 en uno!
Finalmente se me ocurre que puedes disciminar un usuario torpe de un algoritmo de fuerza bruta con otro chequeo. Un usuario torpe normalmente intentará introducir la misma contraseña varias veces, por más que sea incorrecta. Un algoritmo de fuerza bruta jamás haría algo así! Puedes "descartar" del conteo de logins errados aquellos que tengan contraseñas erroneas repetidas.

Salu2!