kannst ja in einer tabelle (userdaten/kontodaten) ne spalte hinzufügen, in der dann die anzahl der falschen passwort eingaben gezählt werden, und wenn diese > X, dann wird der account gesperrt, und kann nur vom admin (support/email) wieder freigeschaltet werden, bzw. über neues passwort anfordern oder so.

captcha nervt halt schon wieder die "normalen" user, selbst wenn es der sicherheit dient.