存在しないアカウントの失敗したログイン試行をログに記録することは賢明ですか？

あなたはさまざまな種類の攻撃を見ています。既知のユーザーの失敗した試行のロギングは、特定のユーザーに対する攻撃です。定義上、一致するパスワードがないため、存在しないユーザーに対して失敗したログイン試行は常に失敗します。これは、ユーザーを列挙する試みを示している可能性があります。または、アプリケーションをプロファイルする試みを示している可能性があります。

上記のいくつかのフォローアップから、各エントリをログに記録したいようですが、ログがセキュリティ上の問題につながる可能性があることを懸念しています。たとえば、実際のユーザーがIDを誤って入力し、実際のパスワードを入力した場合、タイプされたパスワードまたはバリエーションを使用して、ユーザー名のバリエーションを使用して標的となる試み（誤ったユーザー名を使用して実際のユーザー名に到達しようとする試み）が発生する可能性があります。

ヒューリスティックを実行し、ブロックルールを作成するためにIPとユーザー名をログに記録することをお勧めします（一定期間IPをブロックしたり、CAPTCHAを要求したりするなどして、IPから総当たり攻撃をやめます）。ユーザー名とパスワードを組み合わせると、攻撃者の方法を特定するのに役立つ場合があります（たとえば、デフォルトのユーザー名XとデフォルトのパスワードYを持つアプリケーションバックエンドAを使用していると考えます）。ただし、通常は、攻撃をブロックして発信元を特定するためのアクションを実行します。ハッシュされていても、パスワードを記録することには、これらのパスワードまたはハッシュを分析することで得られる値よりも大きなリスクがあります。パスワードを知ることは、将来の攻撃をブロックするのに適したキーではないためです。ユーザー。