Неправильный логин Попытки входа в систему с использованием IP-адреса?
Я разработал приложение для интрасети и реализовал пользовательский поставщик членства ASP.NET с проверкой подлинности с помощью форм. Я подумал, что будет хорошей идеей регистрировать все неудачные попытки входа в систему в СУБД. Поэтому я создал таблицу со следующей моделью:
Теперь мой вопрос:
Полезно ли хранить это по соображениям безопасности или даже запрещено по соображениям защиты данных (Германия)? Я сохраняю оригинальные пароли, хэшированные в БД, но неправильные пароли (или правильные pw с неправильным именем пользователя) в журнале представлены в виде открытого текста.
Кто-то может поспорить, что каждый, кто имеет доступ к этой таблице, может получить пароли пользователей не только для этого приложения, но и для других, потому что люди, которые забыли свои пароли (или свое имя пользователя), могут попробовать и других.
4 ответа
Не очень хорошая идея для пользователей, которые неправильно написали свой идентификатор пользователя, но дали правильный пароль!
Я предполагаю, что это довольно опасно, так как многие плохие логины будут только персонажем или около того. Если вы пытаетесь собрать данные, возможно, вам следует запустить неверные пароли с помощью алгоритма и сохранить только те данные окончательного отчета, которые вы ищете... например, если вы пытаетесь выяснить, насколько они близки к паролю, возможно, хранить целое число от того, сколько символов были неправильными вместо этого.
Вы не получаете много, сохраняя пароль. Если вы чувствуете необходимость увидеть пароль, возможно, запишите его после X неправильных попыток входа в систему, чтобы избежать опечаток.
Ну, я думаю, что вы должны хранить только хэши паролей, и если вы регистрируете попытки, то зачем вам эти данные? Идентификатор пользователя или имя в сочетании с IP-адресом и датой помогут.