イントラネット アプリケーションを開発し、フォーム認証を使用してカスタム ASP.NET メンバーシップ プロバイダーを実装しました。失敗したすべてのログイン試行を DBMS に記録することをお勧めします。したがって、次のモデルでテーブルを作成しました。
今私の質問:
安全上の理由からこれを保存するのは良い習慣ですか、それともデータ保護の理由で禁止されていますか (ドイツ)? db にハッシュされた元のパスワードを保存していますが、ログ テーブル内の間違ったパスワード (または間違ったユーザー名を持つ正しい pw) は平文です。
このテーブルにアクセスできるすべての人が、このアプリケーションだけでなく他のユーザーのパスワードも取得できると主張する人もいるかもしれません。
ユーザー ID のつづりを間違えても、正しいパスワードを入力するユーザーにはお勧めできません。
多くの不正なログインは文字かそこらしかないため、非常に危険だと思います. データを収集しようとしている場合は、アルゴリズムを介して不適切なパスワードを実行し、探している最終レポート データのみを保存する必要があります。たとえば、それらがパスワードにどれだけ近いかを調べようとしている場合代わりに、正しくない文字数の整数を保存します。
パスワードを保存しても、多くは得られません。パスワードを確認する必要があると感じた場合は、おそらく X 回の不正なログイン試行後にパスワードを記録してください。そうすれば、タイプミスの記録を避けることができます。
パスワード ハッシュのみを保持する必要があると思います。試行をログに記録する場合、なぜそのデータが必要なのですか? ユーザー ID または名前を IP アドレスと日付と組み合わせればうまくいきます。