我开发了一个 Intranet 应用程序并使用 Forms-Authentication 实现了一个自定义 ASP.NET Membership Provider。我认为在 DBMS 中记录所有失败的登录尝试是个好主意。因此,我创建了一个具有以下模型的表:
现在我的问题:
出于安全原因存储它是一种好习惯,还是出于数据保护原因(德国)甚至被禁止?我将原始密码存储在 db 中,但日志表中的错误密码(或使用错误用户名的正确密码)是明文形式。
有人可能会争辩说,有权访问此表的每个人都可以获得用户的密码,不仅是这个应用程序的密码,还有其他人的密码,因为忘记密码(或用户名)的人也可能会尝试其他人。