Estás viendo diferentes tipos de ataques. Los intentos fallidos de registro para usuarios conocidos es un ataque contra un usuario específico. Por definición, un intento de inicio de sesión fallido contra un usuario inexistente siempre fallará ya que no hay una contraseña que coincida. Esto puede mostrar intentos de enumerar usuarios o puede mostrar intentos de crear perfiles de una aplicación.
A partir de algunos de sus seguimientos anteriores, parece que desea registrar cada entrada, pero le preocupa que los registros puedan generar problemas de seguridad. Por ejemplo, si los usuarios reales escriben incorrectamente su ID y ingresan la contraseña real, esto podría llevar a intentos específicos de usar variaciones del nombre de usuario (intentar usar el nombre de usuario incorrecto para alcanzar el nombre de usuario real) con la contraseña o las variaciones introducidas.
Recomendaría registrar la IP y los nombres de usuario para realizar heurísticas y crear reglas de bloqueo (detenga el forzamiento bruto de una IP bloqueando la IP durante un período de tiempo o requiriendo un CAPTCHA, etc.). Los nombres de usuario combinados con contraseñas pueden ser útiles para identificar la metodología del atacante (por ejemplo, creen que está utilizando la aplicación backend A, que tiene el nombre de usuario predeterminado X y la contraseña predeterminada Y). Sin embargo, en general, desea tomar medidas para bloquear el ataque e identificar la fuente. Existe un mayor riesgo en el registro de las contraseñas, incluso en caso de hash, que el valor que podría obtener al analizar estas contraseñas o hashes, ya que conocer las contraseñas no es una buena clave para bloquear futuros ataques, ya que cualquier contraseña dada puede ser válida para otra. usuario.