Ho un'applicazione web pubblica in cui chiunque può registrare un account. Le password che memorizzo sono salate e hash.
Quando qualcuno cerca di superare l'account di qualcun altro attraverso l'indovinare le password mi piacerebbe sapere questo. Per questo motivo desidero registrare tutti i tentativi di accesso non riusciti.
Penso che non sarebbe un problema registrare il tempo, l'indirizzo IP e il nome utente tentato. Ma sarebbe accettabile anche registrare la password sbagliata in testo in chiaro in modo da poter rilevare i pattern che l'utente malintenzionato sta provando o rischiare di essere in grado di dedurre le password corrette da tentativi di accesso errati da parte di utenti legittimi troppo grandi?