Bạn cần cái được gọi là Cửa sổ thử mật khẩu.
Về cơ bản có 2 trường trong cơ sở dữ liệu, một LastPasswordAttempt (datetime) và PasswordAttemptCount (int)
Sau đó, trên mỗi lần đăng nhập, hãy kiểm tra thời điểm LastPasswordAttempt cuối cùng xảy ra và nếu nó đã diễn ra trong 10 phút vừa qua - hãy tăng PasswordAttemptCount, nếu không hãy đặt lại nó về 0 (hoặc 1 vì chúng vừa bị lỗi).
Theo logic tương tự, hãy kiểm tra xem PasswordAttemptCount có bằng 5 hay nhiều hơn không, nếu có - hãy từ chối quyền truy cập của người dùng. Bạn có thể có trường thứ 3 khóa chúng trong vài giờ hoặc một ngày.
tức là CanLoginAfter (ngày giờ) mà bạn có thể đặt thành một ngày kể từ lần thử mật khẩu cuối cùng.
Hy vọng điều này sẽ giúp ích
