Brute force em sitema de login

Atualmente estou visando a segurança do meu site. Criei um sistema de login que após N tentativas cria um captcha e após N tentativas com o captcha bloqueia o usuário com cookie e caso ele tire o cookie, bloqueia ele pelo ip no lado do servidor, mas vi que exitem formas do usuário mascarar o ip como por exemplo com o tor browser. Se ele tem um ip dinamico eu não conseguirei bloqueá-lo pelo ip, estou certo?  Eu gostaria de saber se existe uma maneira melhor de bloquear o usuário que utiliza de métodos para burlar sistemas e também vi que há um problema de bloquear pelo ip, pois você pode bloquear outros usuários que nada tem haver com o problema.