3 eller 10 försök gör ingen större skillnad. Det bör ju bara vara automatiserade attacker du är orolig för. I annat fall så är det ju användaren som gjort något galet. Återställning är ett måste om man vill slippa en massa onödigt arbete vilket du nog insett nu
Är det krångligt och kontot inte är särskilt viktigt så struntar man i det och gör något annat istället. Är det viktigt så får du arbeta. Båda fallen missgynnar dig.
Sedan måste givetvis säkerheten också vara proportionell mot risk och känslighet.