La seguridad en los sistemas de autentificacion depende de la combinacion de login y password, si son sencillos pueden ser atacados mediante combinaciones de diccionario.

Tambien recuerda que si alguien se descarga la base de datos tendra todos los login en sus manos.

Personalmente hago un contador que si se intenta hacer login mas de 3 veces de forma incorrecta se cree una variable de sesion que no permita hacer mas login y te redirige a yahoo.com, por ejemplo.

Otra opcion es banear una IP desde la que se ataca durante una hora , dos, etc.