失敗的登錄嘗試表

Question

因此，我正在爲失敗的登錄嘗試創建一個表。我是否應該存儲輸入的人的密碼或哈希值，還是根本不存儲它？

如果是這樣，它可能真的與人的實際密碼相似，如果我存儲它散列，我到底想做什麼？這隻剩下最後一個選項。我對嗎？謝謝

對此的任何建議都歡迎

Answer 1

爲什麼你需要輸入密碼？只需存儲用戶的IP，用戶名以知道他嘗試連接的用戶名和事件發生的時間。

後來，因爲你得到了用戶名，您可以與用戶表比較，如果用戶名和IP是相同或相似的，所以你就會知道，如果它是用戶的過錯或蠻力學嘗試

Answer 2

什麼是地獄我需要它對於？

您可能能夠更好地檢測濫用模式。例如，一個殭屍程序針對不同帳戶嘗試相同的密碼，暴力/字典攻擊以及嘗試使用來自其他來源的泄露帳戶信息。您可能能夠更好地關聯不同的攻擊者。

一般來說，這被認爲是邊際效用，根本不值得存儲和暴露這種信息的風險，這在普通的非濫用情況下確實可能是敏感的。