Moin!

Wenn sich der Administrator in seinem Admin-Login dreimal falsch angemeldet hat, dann wird eine Sperre gesetzt, die 3.600 Sekunden lang ist, bevor er ich erneut anmelden kann.

Cool! Wenn ich den Admininstrator-Account kenne und mich absichtlich falsch anmelde, kann ich dem Administrator für eine Stunde den Zugang entziehen. Obwohl der gute Mensch dafür gar nichts kann. Wenn das mal keine Super-Idee ist.

Wie kann ich nun resourcen-schonend laufend im Hintergrund prüfen, ob die Sperre gesetzt ist, wenn ja, wann sie abläuft und wenn sie abgelaufen ist, die Seite automatisch aktualisieren lassen ?

Du solltest keine solche Sperre setzen, sondern verhindern, dass der Administrator ein zu schwaches Passwort wählt. Ihn für eine Zeit auszusperren ist jedenfalls keine Lösung - sowas funktioniert vielleicht, wenn man per Tastatur an einer nicht umgehbaren lokalen Passwortabfrage (z.B. vom BIOS) sitzt. Im Web läuft der Hase anders. Niemand ist gehindert, tausend Threads gleichzeitig laufen zu lassen, um bei dir das Passwort zu hacken. Da kackt vielleicht dein Server ab wegen der vielen Anfragen, aber mit der Wartezeit bestrafst du nur den korrekt handelnden Benutzer, aber niemals den Angreifer.

- Sven Rautenberg