Erstmal - kann man noch andere Angriffe als Brute-Force berücksichtigen? Aber auch die Brute-Force Angriffe sind nicht unbedingt leicht zu erkennen, oder? Man könnte ja einfach die mißlungenen Versuche loggen, und wenn das in 1 Minute mehr als 10 sind dann IP direkt abwehren. Nur kann man ja die IP zwischen den einzelnen Zugriffen über Proxies doch ändern, oder? Und wie könnte ich das erkennen bzw. verhindern?

Das wäre aber mühsam, wenn ich für jeden Zugriff den Proxy wechseln müßte - Brute Force muß ja sehr schnell sein, sonst hat's gar keinen Sinn.
Brute Force erkennt und blockt man am besten über Logfiles und den Provider.
Einen sicheren Schutz kriegst Du auch ganz leicht:
1. Session ID mitführen.
2. Session ID plus geheimen String nehmen, MD5 davon und auch mitführen.

So müßte jemand die Session ID (bei PHP glaube ich 128 bit) _und_ den Secret Key (kannst ja auch noch mal 128 bit lang machen) erraten - per Brute Force keine Chance. Wir reden hier ja vom Web, da kannste nicht 1 Milliarde Schlüssel pro Sekunde durchprobieren.