0

我开发了一个 Intranet 应用程序并使用 Forms-Authentication 实现了一个自定义 ASP.NET Membership Provider。我认为在 DBMS 中记录所有失败的登录尝试是个好主意。因此,我创建了一个具有以下模型的表:

在此处输入图像描述

现在我的问题

出于安全原因存储它是一种好习惯,还是出于数据保护原因(德国)甚至被禁止?我将原始密码存储在 db 中,但日志表中的错误密码(或使用错误用户名的正确密码)是明文形式。

有人可能会争辩说,有权访问此表的每个人都可以获得用户的密码,不仅是这个应用程序的密码,还有其他人的密码,因为忘记密码(或用户名)的人也可能会尝试其他人。

4

4 回答 4

4

对于拼错用户 ID 但提供正确密码的用户来说,这不是一个好主意!

于 2011-06-06T12:48:09.297 回答
2

我想这是非常危险的,因为许多错误的登录只会是一个字符左右。如果您正在尝试收集数据,也许您应该通过算法运行错误密码并仅存储您正在寻找的最终报告数据。例如,如果您试图找出它们与密码的接近程度,也许存储一个整数,其中有多少个字符不正确。

于 2011-06-06T12:50:38.673 回答
1

通过存储密码,您不会获得太多收益。如果您觉得需要查看密码,也许在 X 次错误登录尝试后记录下来,这样您就可以避免记录错别字。

于 2011-06-06T12:51:39.407 回答
0

好吧,我认为您应该只保留密码哈希,如果您记录尝试,那么为什么需要这些数据?用户 ID 或名称与 IP 地址和日期相结合就可以解决问题。

于 2011-06-06T12:47:47.883 回答