Лучший способ реализовать запрет после слишком многих попыток входа

Я исследовал это в течение последних 2 дней после того, как я внедрил свою собственную систему для запрета слишком большого количества попыток. Но я не нашел правильного ответа, который я ищу. Который в основном заключается в том, какой лучший способ реализовать это?

В настоящее время я реализовал это через IP бан, если один и тот же IP последовательно делает ошибку входа 10 раз, IP запрещается на 30 минут от возможности войти в систему, они могут просматривать сайт по-прежнему. Однако если это произойдет в районе с высокой численностью населения, например, в университетском городке, не будет ли это эффективно блокировать вход для всей школы?

Так есть ли лучший способ сделать это, который не использует IP-адреса? Я думал, что можно сделать это с помощью cookies, но пользователь, пытающийся взломать учетную запись, может просто удалить свои cookies после каждых 10 попыток.