En términos de autenticación de capa de aplicación, es común realizar un seguimiento de los intentos de inicio de sesión fallidos a las cuentas de usuario existentes. Sin embargo, no he visto a nadie rastrear intentos fallidos de inicio de sesión de cuentas de usuarios no existentes (es decir, aquellas que no pueden identificarse mediante un identificador público, por ejemplo, correo electrónico).
Estás viendo diferentes tipos de ataques. Los intentos fallidos de registro para usuarios conocidos es un ataque contra un usuario específico. Por definición, un intento de inicio de sesión fallido contra un usuario inexistente siempre fallará ya que no hay una contraseña que coincida. Esto puede mostrar intentos de enumerar usuarios o puede mostrar intentos de crear perfiles de una aplicación.
A partir de algunos de sus seguimientos anteriores, parece que desea registrar cada entrada, pero le preocupa que los registros puedan generar problemas de seguridad. Por ejemplo, si los usuarios reales escriben incorrectamente su ID y ingresan la contraseña real, esto podría llevar a intentos específicos de usar variaciones del nombre de usuario (intentar usar el nombre de usuario incorrecto para alcanzar el nombre de usuario real) con la contraseña o las variaciones introducidas.
Recomendaría registrar la IP y los nombres de usuario para realizar heurísticas y crear reglas de bloqueo (detenga el forzamiento bruto de una IP bloqueando la IP durante un período de tiempo o requiriendo un CAPTCHA, etc.). Los nombres de usuario combinados con contraseñas pueden ser útiles para identificar la metodología del atacante (por ejemplo, creen que está utilizando la aplicación backend A, que tiene el nombre de usuario predeterminado X y la contraseña predeterminada Y). Sin embargo, en general, desea tomar medidas para bloquear el ataque e identificar la fuente. Existe un mayor riesgo en el registro de las contraseñas, incluso en caso de hash, que el valor que podría obtener al analizar estas contraseñas o hashes, ya que conocer las contraseñas no es una buena clave para bloquear futuros ataques, ya que cualquier contraseña dada puede ser válida para otra. usuario.
Un inconveniente de los intentos fallidos de los usuarios por el registro es que algunos usuarios escriben su contraseña en el campo de nombre de usuario y presionan enviar. Suena tonto, pero ha pasado suficientes veces para ser una preocupación.
Esto puede suceder con la escritura demasiado rápida, un administrador de contraseñas o algún otro medio automatizado.
Lea otras preguntas en las etiquetas authentication logging