¿Es posible usar la información en un registro de acceso para identificar la verdadera identidad de un impostor que ha adquirido acceso no autorizado a un sistema informático (quizás combinando varias informaciones diferentes)?
Yo diría que la respuesta es posiblemente. Como tiene un servidor web (comentario de pila LAMP), tiene acceso a los registros del servidor web, por lo que puede registrar bastante información sobre los visitantes del sitio, y puede utilizar eso para identificar específicamente a alguien que visita el sitio. independientemente de en quién inicien sesión como
Si ves algo como panopticlick
Si luego tiene acceso a los sistemas cliente del impostor potencial, podría usar la huella digital del navegador para proporcionar evidencia de que fueron ellos los que accedieron al sistema.
Por supuesto, si tiene un atacante inteligente, pueden tomar medidas para frustrar este enfoque (anonimizando su navegador, cambiando los sistemas, etc.)
Podrás registrar direcciones IP, pero esto está lejos de ser una "verdadera identidad", ya que se pueden usar proxies, shells de cadenas, etc. Lo más probable es que la respuesta a tu pregunta sea "no"
En teoría, el sistema no podrá detectar el acceso no autorizado, ya que primero debe haber tenido lugar una autenticación falsa. Si pudiera, no habría ningún impostor. La forma en que un sistema específico se ocupa del registro es diferente en cada caso. La mayoría, supongo, registrará las direcciones IP, pero es difícil registrar información más detallada.
Lea otras preguntas en las etiquetas access-control logging intrusion