Dass du den Rechnernamen (der je nach Netztyp u.U. auch gar nicht existieren muss) nicht auslesen kannst hast du bereits erfahren.
Mein Vorschlag wäre: Setz' einfach ein Cookie.
Das ist genauso leicht oder schwer zu fälschen wie alle anderen Angaben und die false-positive-Quote geht gegen null.

Was man aber auch machen könnte wäre IPs vorübergehend zu sperren, wenn Bots mit Bruteforce angreifen und sie nach dem fünften Mal nicht mehr dürfen läuft der Angriff ins Leere. Da das aber nicht gegen Bot-Netze hilft (da ganz doll viele verschiedene IPs) kann man auch generell die Anmeldeversuche pro Minute auf vier (oder so) begrenzen. Dadurch sind entsprechende Angriffe auch relativ wenig erfolgversprechend.

Mein erster Ansatz wäre allerdings einfach mal alle Angriffe mitloggen, vielleicht erkennst du ein Muster, welches du manuell aussperren kannst. Z.B. ein bestimmter Adressbereich oder UserAgent (soweit nicht verbreitet) oder auch immer gleiche Uhrzeiten, an denen du den Admin-Login generell abschalten könntest. In Kombination mit dem oben genannten Cookie würdest du auch gleich sehen ob der Angreifer Cookies annimmt bzw. ob es immer der gleiche ist (wenn der Inhalt des Cookie einfach zufällig also einzigartig ist).