Non si gestiscono i tentativi falliti, almenochè non è strettamente necessario.
Oggi giorno esistono metodi alternativi per gestire gli attacchi di bruteforce.
Personalmente utilizzo i token, ovvero un codice generato dinamicamente che viene mandato dal form di submit sotto tipo hidden, in modo da non far risultare nulla all'utente, e rendere un attacco di bruteforce impossibile: infatti il sistema non eseguirà il login e restituerà errore se il codice mandato dal form non corrisponde alla sua copia. (E' lo stesso funzionamento dei captcha).
{ Il metodo del token, è uno dei migliori, sopratutto se adattato ad ogni azione che l'utente può compiere (ad esempio inserire un messaggio in un forum), perchè ti protegge da altri attacchi, in gergo chiamati CSRF }
Se vuoi avere maggiore sicurezza, puoi ovviamente inserire anche l'immagine del captcha (Anche se non te lo consiglio, personalmente li trovo fastidiosi).

Se invece vuoi proteggerti semplicemente da accessi "umani" che cercano di entrare su un account, provando più password, puoi inserire il tuo "controllo" ad orario, bloccando l'accesso per alcuni minuti.