Quali sono i vantaggi di registrare il nome utente di un tentativo di autenticazione fallito?

Il motivo per cui si registrano i tentativi di accesso non riusciti agli account è determinare se sono sotto attacco di forza bruta. Se l'account è sufficientemente sensibile, potresti quindi prendere in considerazione la possibilità di aggiungere protezioni aggiuntive per quell'account.

Nota che gli attacchi di forza bruta non devono accadere tutti in una volta e poi fermarsi. L'intelligente attaccante proverà 4 tentativi, quindi attenderà 15 minuti, quindi riproverà.

Se non si registra il nome dell'account, non si sa che questo stava accadendo.

Perché registrare i tentativi di autenticazione se tutto ciò su cui ti stai impegnando a lavorare è un timestamp, un indirizzo IP e un codice di risposta? Questo non ti dà alcuna informazione utile, a meno che tu non sia interessato solo a implementare divieti IP dopo un numero di tentativi falliti e non hai alcun interesse nella risposta o nella riparazione degli incidenti.

How is it useful or safe?

Se un utente digita la propria password nel campo del nome utente, non è poi così tanto diverso che rivelarlo involontariamente in qualsiasi altro campo. Possono (e lo fanno) incollarlo accidentalmente in una finestra di chat o nella barra degli indirizzi (compare nei log DNS) dopo averlo estratto dal proprio gestore di password. Non possiamo eliminare completamente la registrazione solo perché gli utenti commettono errori che potrebbero rivelare la loro password.

Quando vedo le password registrate nel campo del nome utente, mi limito a contattare quegli utenti e dico loro che la loro password è stata divulgata e inizierà a propagarsi attraverso sistemi e database, quindi devono cambiarli immediatamente per evitare potenziali compromessi. Hanno commesso l'errore, quindi è su di loro per risolverlo - non per me riconsiderare il merito della nostra infrastruttura di logging.

Are their other benefits to logging the username of a failed authentication attempt?

Se non stai registrando i nomi utente, come fai a sapere se qualcuno sta enumerando tutti gli account nel tuo annuncio pubblicitario o se ha davvero un targeting pesante per un utente?

Senza nomi utente, come puoi sapere se l'hacker indovina casualmente gli account azionari (root, admin, ecc.) o se si rivolgono a individui sensibili (dirigenti, lead di R & D)?

Se vedi una serie di errori seguiti da uno o più successi, è lecito ritenere che un utente sia stato compromesso. Il tuo capo è sotto tiro e chiede risposte-- dimmi quali utenti sono stati compromessi, ora!

Prendi tutti i log e maschera il nome utente da tutti loro. Scegli un evento e assumi che sia un indicatore di compromesso. Supponiamo anche che tu sia in un ambiente aziendale disordinato che è NATtato all'inferno e offusca l'indirizzo IP ad ogni passo. Ora dimmi come questo attore potrebbe essersi spostato lateralmente all'interno della tua rete, a partire da quell'evento.

La registrazione attraverso i sistemi è spesso incompleta e le aziende generano una tonnellata di eventi simultanei, quindi la correlazione dei timestamp non è sempre un'opzione. Registriamo i dettagli, molti dei quali fattibili, per una ragione, ma se non stai registrando qualcosa di critico come i nomi utente sui tentativi di autenticazione falliti (letteralmente il record di chi sta causando problemi alla tua porta), stai accecando te stesso a beneficio dei tuoi utenti più incompetenti.

Penso che tu voglia scoprire quali utenti sono sotto attacco.

Ma per questo non devi necessariamente registrare l'input del nome utente originale. Sarebbe sufficiente registrare un hash del nome utente e confrontarlo con gli hash di tutti i nomi utente conosciuti.