In termini di autenticazione a livello di applicazione, è comune tenere traccia dei tentativi di accesso non riusciti agli account utente esistenti. Tuttavia, non ho visto nessuno che monitora tentativi di accesso non riusciti di account utente non esistenti (ovvero quelli che non possono essere identificati utilizzando l'identificativo pubblico, ad esempio email).
Stai guardando diversi tipi di attacchi. La registrazione dei tentativi falliti per utenti noti è un attacco contro un utente specifico. Per definizione, un tentativo di accesso fallito contro un utente inesistente avrà sempre esito negativo poiché non vi è alcuna password da abbinare. Questo potrebbe mostrare tentativi di enumerazione degli utenti o potrebbero mostrare tentativi di profilare un'applicazione.
Da alcuni dei tuoi post sopra, sembra che tu voglia registrare ogni voce ma teme che i log possano portare a problemi di sicurezza. Ad esempio, se un utente reale digita erroneamente il proprio ID e inserisce la password reale, ciò potrebbe portare a tentativi mirati utilizzando varianti del nome utente (tentando di utilizzare il nome utente errato per raggiungere il nome utente reale) con la password o le varianti digitate.
Suggerirei di registrare l'IP e i nomi utente per eseguire l'euristica e per creare regole di blocco (bloccare la forza bruta da un IP bloccando l'IP per un certo periodo di tempo o richiedendo un CAPTCHA, ecc.). I nomi utente combinati con le password possono essere utili per identificare la metodologia dell'aggressore (ad esempio, pensano che si stia utilizzando il backend dell'applicazione A con nome utente predefinito X e password predefinita Y). Tuttavia, in generale, si desidera agire per bloccare l'attacco e identificare la fonte. Esiste un rischio maggiore nella registrazione delle password, anche se sottoposte a hash, rispetto al valore che si potrebbe ottenere dall'analisi di queste password o hash, dal momento che conoscere le password non è una buona chiave per bloccare futuri attacchi, dal momento che qualsiasi password può essere valida per un'altra utente.
Uno svantaggio del logging dei tentativi falliti degli utenti è che alcuni utenti digitano la loro password nel campo username e premono submit. Sembra sciocco, ma è successo abbastanza volte per essere un problema.
Questo può accadere con la digitazione troppo veloce, un gestore di password o altri mezzi automatizzati.
Leggi altre domande sui tag authentication logging