È legale archiviare / registrare password errate?
Quanti di voi hanno visto accadere questo in un file di registro o in un DB?
Non penso che "legale" sia il termine giusto da usare.
Non è saggio, molte volte la "giusta" password è solo una lettera diversa dalla password "errata" (typo / lettere maiuscole / ...). Quindi se qualcuno malvagio ottiene questo registro, può facilmente indovinare la password corretta.
Altro problema è che le persone riutilizzano le password, quindi usano la stessa password per il tuo sito / gmail / facebook / bank. Quindi, anche se il tuo sito non ha informazioni sensibili sugli utenti, è molto probabile che ottenere le credenziali dell'utente dal tuo sito consenta agli hacker di accedere agli account di altri utenti (email / CC / banca). E tu non vuoi essere una fonte di qualcosa del genere.
Come accennato, è perfettamente legale in molte giurisdizioni, in quanto il proprietario della macchina può fare ciò che vuole con questi dati (non conta come dati personali nella maggior parte degli statuti sulla protezione dei dati)
Ma aumenta il rischio - che chi guarda questi registri potrebbe creare una buona idea delle password delle persone, che rimuove la controllabilità delle azioni (potrebbero accedere come la persona la cui password è stata registrata), quindi sarebbe un pessima idea, e nei settori regolamentati creerebbe un problema!
Davvero pessima idea. A volte le persone inseriscono la password per un altro sito. Se ciò fosse registrato, sarebbe preziosa per chiunque sia in grado di accedere al registro. Si può spesso indovinare da un piccolo numero di siti per i quali la password è corretta.
Per aggiungere alle risposte precedenti, non dovresti nemmeno registrare il nome utente, è piuttosto comune che le persone vengano "fuori sincrono" e digitino la loro password nel campo di login (l'IU cattiva è il colpevole principale qui).
Ho visto che non solo la password è memorizzata in DataBase, ma anche il nome utente , quindi il DBA o qualcuno che ha accesso all'elenco dei log, potrebbe immaginare le credenziali corrette.
Questo tipo di informazioni di registro ha valore ? IMO no, perché è meglio in termini di sicurezza che il sito web informa l'utente con un'e-mail di avviso su "accessi non riusciti". L'unico valore che potrebbe avere per registrare quell'informazione è (1) conoscere il modello che alcuni hacker stanno cercando di usare per accedere (2) e quale utente sta considerando.