No es muy recomendable controlar los intentos de acceso en la sesion... de hecho es muy poco seguro. Basta con que el cliente no envie el mismo id de sesion y se salta el control tranquilamente.

Lo suyo es usar el contexto, si no nos importa que al reiniciar la aplicacion se pierdan los fallos hasta el momento, o algo mas persistente (SO, BDD...).

S!