Tja... das Problem ist, wenn die Eingabe (am Ende) 20 Minuten gesperrt ist und der "Nerver" alle paar Millisekunden versucht wieder reinzukommen, wird kein User dazwischenkommen. Deshalb könnte er auch nichts anderes eingeben.
Hätte der User ein Passwort, für dessen Eingabe keine Zeitsperre vorliegt, so könnte man die ja brute force hacken.

Ich fürchte, dass dieser Weg einfach nicht zum Ziel führt. Im Grunde kannst Du wahrscheinlich einfach nur dafür sorgen, dass das Passwort schön lang ist und eine Mindestanzahl Buchstaben, Sonderzeichen und Zahlen enthält.
Willst Du es noch sicherer, zwing die User dazu, alle zwei Monate ihr Passwort zu ändern.

Aber dieses Vorgehen dürfte kontraproduktiv sein:

a) schreiben sich die User diese komplizierten Passwörter garantiert auf -> Mißbrauchgefahr
b) werden die User genervt und bleiben vielleicht weg

Keine schönen Aussichten. Vielleicht hat ja jemand noch die richtige Idee, ich fürchte aber, dass über dieses Problem im Grunde schon gegrübelt wird, seit es Computer mit Multiuserbetriebssystemen gibt, also schon ziemlich lange. Das soll einen nicht abhalten, ich fürchte nur, es wird keine "einfache" Lösung geben :-(