10, просто куча запросов с попытками авторизации.
Проверяй сколько попыток авторизации сделал ip, если больше 10, блокировка на 5 мин, после каждых 10 попыток увеличивай время блокировки, было 3 блокировки за день, то полная блокировка. Если будут запросы с нескольких ip и суммарное количество попыток авторизации под каким то пользователем было больше 30, то тогда блокируй все попытки авторизоваться на сутки, + для новых ip которые ещё не прибывали авторизоваться оставляешь по 3 попытки, что бы пользователю не приходилось ждать если даже если его брутят со 100 прокси. А ещё лучше не выводить сообщение о том что попытки кончились, а просто писать не верный пароль, тогда брут может пропустить нужный пароль и пройти дальше подбирать. Так же можно определять брут по количеству запросов в секунду.
