Vi la siguiente pregunta antes: ¿Es legal registrar contraseñas de inicios de sesión fallidos?
Creo que plantea otra pregunta: ¿Cómo registro las intentos fallidos de las contraseñas?
Eso parece muy útil cuando necesito comprobar si alguien está haciendo una ingeniería social para ingresar a la cuenta de otra persona.
Eso sería increíblemente simple. También puede registrar el valor de la contraseña intentada. Modifique su función de inicio de sesión de alguna manera, dependiendo de su idioma.
Ten en cuenta que este es un pseudo código no probado, pero el concepto funcionará :
Un par de cosas de seguridad:
private boolean properLength(String u, String p)
{
return ((u.length > 3 && u.length <= 12) && (p.length > 8 && p.length <= 30)) ? true : false;
}
private boolean properFormat(String u, String p)
{
return (regex.Valid(u, usernameRegex) && regex.Valid(p, passwordRegex)) ? true : false;
}
private String stripBadStuff(String stuff)
{
// Just in case or something...
return EncodingFunction.ToASCII(stuff).regexReplace(badCharacaterRegex, "");
}
Y el inicio de sesión:
public String login(String user, String pass)
{
if (!loginTriesExceeded) // Currently unhandled for example.
{
if ((user != null && pass != null) && properLength(user, pass) && properFormat(user, pass))
{
if (!userLoginTriesExceeded)
{
// Strips potential hacker injection attempts. You may want to find another way to log this attempt. You wouldn't want to log this to a database without parameters/bound variables. That's beyond the scope of this answer. Google it.
String newUser = stripBadStuff(user);
String newPass = stripBadStuff(pass);
// Would be changing DB.lookup() to return true if valid login is detected. DB.lookup(newUser,newPass) will now be assumed that it tests the plaintext password against the salted hash.
if (DB.lookup(newUser, newPass))
{
// Prevent injection. This will assume DB.lookup() tests the password against the stored hash.
return "Hello " + newUser;
}
else
{
logInvalidAttempt(newUser, newPass);
return "Invalid login.";
}
}
else
{
return "User login attempts exceeded.";
}
}
else
{
return "Invalid login.";
}
}
else
{
// Do nothing, or inform the visitor that they've exceeded max global logins based on their IP / cookie
return null;
}
}
Solo usarías logInvalidAttempt(user, pass); cuando falle. Entonces, en lugar de solo decir "error de inicio de sesión", diría "error de inicio de sesión" y registre el intento, pero tenga cuidado de no implementar fallas de seguridad con esto. Deberá asegurarse de que los datos se ingresen correctamente.
En general, solo la entrada de saneamiento no es la respuesta, pero a veces la agrego como una capa adicional después de que todo lo demás haya terminado, por si acaso. No siempre, solo a veces. El ejemplo aquí es para propósitos de aprendizaje.
Ten en cuenta que tendrás que escribir tu propia función logInvalidAttempt() ; eso es demasiado amplio para esta respuesta.
También puede hacer esto para cualquier Content Management System como joomla , WordPress , Drupal , Django , et al. Son, después de todo, de código abierto. Así que todo lo que necesita hacer es modificar la función de inicio de sesión adecuada.
También debe asegurarse de que no se registren demasiados datos. Tendrás que cortarlo en algún momento.
TLDR :
Lea otras preguntas en las etiquetas windows social-engineering unix