Ограничение количества неудачных попыток входа в систему

Я хочу ограничить количество неудачных попыток входа в систему. Например, если конкретный пользователь пытается войти в систему с неправильным именем пользователя или паролем 4 раза, я должен показывать CAPTCHA 4 раза вместо блокировки в течение определенного времени и продолжать показывать CAPTCHA, если он не предоставит действительное имя пользователя и пароль. После того, как пользователь успешно вошел в систему, попытка входа сбрасывается на НУЛЬ.

Является ли идея проверки имени пользователя вместо IP-адреса приемлемой с точки зрения безопасности?Можно ли реализовать этот подход без использования базы данных? Я думаю, мне не нужно хранить время, потому что я просто покажу recaptcha? Выскажите свое мнение.