ログイン時にユーザIDまたはパスワードを間違えて複数回ログインに失敗した場合、ユーザがロックされます。このロックまでの回数やパスワードの有効期間は、設定→セキュリティのコントロール→パスワードポリシーで細かく設定できます。この設定は組織全体に反映されます。
パスワードポリシーの設定はデフォルトで次のようになっていると思います。
パスワードの有効期間を無期限にしたり、ロックするまでの回数を制限なしにしたり、ロックアウトの有効期間を変更したりできます。できてしまう制限の中で特に注意が必要なのが、ロックアウトの有効期間を無期限にできることです。
実際に試したことはありませんが、他にシステム管理者権限のユーザがいない状態でユーザロックしてしまった場合、復旧が大変なことになりそうな気がします。(特にDeveloper環境...)
基本的には無期限の設定は利用しないようにした方が良さそうです。また、システム管理者ユーザは二人以上用意しておくと安全だと思います。Developer環境でもSalesforceライセンスのユーザを2ユーザまで利用できます。
パスワードポリシーの設定ではロックアウト時のメッセージもカスタマイズできます。デフォルトでは次のようになっていますが、
任意のメッセージに変更したりリンクを追加したりできるみたいです。
他ユーザがロックされてしまったときに、システム管理者はモバイルアプリからロック解除することもできます。
SalesforceAアプリではロックアウトしたり凍結されているユーザを確認したりできます。
管理者向けサイトのリンクにもアクセスできるようになっていました。