Estas pensando como un humano! :D Una máquina no tiene que "tipear" el nombre de usuario y contraseña ni leer una página completa para "darse cuenta" que el usr/pass no fue aceptado. Con solo "saber" que respuesta obtendrá del servidor cuando haya tenido éxito puede probar cientos de contraseñas en segundos. Recuerda además la concurrencia. Un máquina puede estar probando todos los logins que quiera "simultaneamente" en procesos o hilos separados!

Respecto a la cantidad, queda a criterio de cada uno. Debe elegirse según cuan crítico es el sistema que quieras proteger. Como estándares podría citarte los de los cajeros automáticos, login de windows, etc. que son 3 los intentos fallidos que sopotan. Este foro por ejemplo te deja errar 5 veces. Si quieres mi opinión personal: 5 suena lógico y suficiente. Si un usuario está leyendo que le quedan 4, 3, 2, 1 intento fallidos y se le advirte de antemano que no va a poder loguearse más si se le acaban todos los intentos, no va a ser tan tonto de seguir intentando hasta el final!!

Recuerda también otorgarle al usuario "súper torpe" la posibilidad de quitar su IP de la lista negra. Cuando una IP haya sido bloqueada deberás advertirle apropiadamente y darle una dirección de correo u otro medio para poder contactar a un administrador para que la desbloquee, o en su defecto algún proceso automático seguro (CAPTCHA http://www.captcha.net/ es una excelente método para distinguir humanos de máquinas).

Salu2!