使用 IP 记录错误的用户名/密码尝试是良好的做法吗？

Question

我开发了一个 Intranet 应用程序，并使用 Forms-Authentication 实现了自定义 ASP.NET 会员提供程序。我认为在 DBMS 中记录所有失败的登录尝试是个好主意。因此，我创建了一个具有以下模型的表格：

现在我的问题：

出于安全原因存储此内容是良好做法还是由于数据保护原因甚至被禁止（德国）？我将原始密码散列存储在数据库中，但日志表中的错误密码（或使用错误用户名的正确密码）是明文形式。

有人可能会争辩说，每个有权访问此表的人都可以获取该应用程序的用户密码，也可以获取其他应用程序的用户密码，因为忘记密码（或用户名）的人也可能会尝试其他应用程序。

Answer 1

对于拼写错误用户 ID 但提供正确密码的用户来说，这不是一个好主意！

Answer 2

我认为这是相当危险的，因为许多错误的登录只会导致一个字符左右的关闭。如果您正在尝试收集数据，也许您应该通过算法运行错误密码，并只存储您正在查找的最终报告数据..例如，如果您正在尝试找出它们与密码的接近程度，也许而是存储一个表示有多少个字符不正确的整数。

Answer 3

存储密码不会给您带来太多好处。如果您觉得需要查看密码，也许可以在 X 次错误登录尝试后记录下来，这样就可以避免记录拼写错误。

Answer 4

好吧，我认为你应该只保留密码哈希，如果你记录尝试，那么你为什么需要这些数据？用户 ID 或名称与 IP 地址和日期相结合即可解决问题。