desde el servidor tienes que generar el script para que vaya acorde con los intentos que se han registrado en la bsae de datos. o sea, cuando el servidor detecta que el ingreso fue incorrecto, en php genera el script. en este script tienes que incluir la cantidad de intentos restante. un ejemplo del script podria ser,
Código:
<?php echo <<< ErrorLogin
<script type="text/javascript">
alert("El usuario o contraseña son incorrecto. Tienes $loginTry oportunidades para intentarlo");
</script>
ErrorLogin;
?>
recuerda, desde php tienes que agregarlo solo cuando se determine que los datos fueron incorrecto. fijate la variable $loginTry debe llevar la cantidad restante de intentos. mi sugerencia, en lugar de mostrarlo con un alert, muestralo en un elemento cerca de la seccion de login ya que por lo general las ventanas modales son molestosas.