Enquanto o que Chris S diz é verdade, você se abriu para um ataque do DOS. Eu não posso entrar em suas contas, mas posso bloqueá-las permanentemente. Eu continuo fazendo tentativas erradas de senha, indefinidamente. Uma tentativa ruim por usuário, a cada 2 minutos, não é muito.
Você precisa de algo para monitorar seus registros em busca de tentativas inválidas e, eventualmente, bloquear esse endereço IP no firewall por um período de tempo.
Como configurar isso é altamente dependente de sua infraestrutura (log, firewall, etc) e seus padrões de uso. Por exemplo, se o mesmo endereço IP fizer uma tentativa inválida em 2 a 3 contas, talvez você queira bloquear esse IP por alguns dias. Se for uma conta, você só pode querer bloquear esse IP depois de fazer 10 tentativas inválidas em uma hora, por duas horas.