раз на раз не приходится)))), чем держать юзера на фейке пока он поймет в чем дело, лучше отпустить его после двух попыток, больше двух попыток я считаю перебор, хотя в инете есть такие юзеры-блондины, которые и 20 раз введут пароль и не сменят его, но это вымирающий вид)).
но на мою беду, мне заказывают только хакеров, опытных юзеров или программистов, так что если их и поймаешь на фейк, то лучше сразу же отпустить их, пока их мысли заняты темой письма которая и привела их на фейк.