Estou trabalhando em um sistema de autenticação com falha de login.
Se o usuário não efetuar login, o número de tentativas no banco de dados será incrementado e, se um limite definido for atingido, o PHP definirá uma variável de captcha de sessão como true.
Então, quando o usuário (ou spam bot) recebe a página de login novamente, um formulário captcha é mostrado graças à variável de sessão

Mas, como os robôs de spam podem, eventualmente, excluir o cookie de sessão e tentar novamente, isso pode não ser eficaz.

Devo usar uma solução de banco de dados? Como você implementaria isso (com ou sem o banco de dados)?