Ich hätte zu meinem Thread-Eingangs-Statement udn den weiteren Erklärungen in Antwort #4 gerne noch weitere Meinungen.
Interessiert das die Shop-Betreiber nicht ?, sollte es jedenfalls.
Ich habe mir das am Wochenende mal in einem Live-Shop angesehen. Vielleicht helfen die Angaben ja etwas:
- 284 Einträge (Zeitraum unbekannt)
- 1 Eintrag nur IP, ohne E-Mail-Adresse
- 204 Einträge, für deren E-Mail-Adresse es kein Kundenkonto gibt (u.a. mit TLD .xyz, .ru, usw.)
- 125 Einträge, für deren E-Mail-Adresse es weder Kundenkonto noch eine Bestellung gibt (-> 79 die als Gast Bestellt hatten, aber wohl dachten Sie hätten ein Konto)
Der häufigste Versuch ist mit 71 bei dem Eintrag ohne E-Mail-Adresse.
Bei 14 weiteren liegt er über 10.
Der Shop ist jetzt vermutlich nicht repräsentativ und die Besucherzahlen sind überschaubar.
- könnte man die Fehl-Logins herausfiltern die einen Eintrag in customers_email_address haben der einem Kunden-Konto zuzuordnen ist, denn das sollte man anders bewerten als Fehl-Logins mit Mail-Adressen die es im Shop gar nicht gibt.
Man könnte die Kunden mit einem Kunden-Konto dann sogar anschreiben und fragen welche Probleme sie beim Einloggen hatten und ob man ihnen helfen kann. Fänd' ich einen klasse Service, zumal ich weiß, daß manche völlig überfordert sind wenn ein Login nicht klappt* und sie dann noch ein Captcha lösen müssen. - Ein Button zum Löschen der Einträge die einem Kunden-Konto zuzuordnen sind.
- Ein Button der die komplette Tabelle leert, außer Einträge mit leerer Mail-Adresse (womit man der betroffenen IP zumindest weiterhin eventuelle Hackversuche erschwert).
- Ein Button der alle Einträge löscht.
Zum Analysetool:
Gute Idee. Hilfreich wäre vielleicht noch ein Zeitstempel über den letzten Versuch, damit man die Einträge evtl. noch besser Bewerten kann.
Wie verhält sich das mit der IP-Adresse? Wird die bei jedem Versuch bei gleicher E-Mail-Adresse aktualisiert? Wenn ja, wäre Punkt 3 nur halbherzig. Da sollte vielleicht die Prüfung insoweit erweitert werden, dass es für jeden Loginversuch ohne E-Mail-Adresse einen Eintrag gibt (werde dazu wohl die Tage mal ein Ticket schreiben, wenn ich mir die Dateien mal genau angeschaut habe).
Punkt 4 gut. Ggf. wenn die Idee mit dem Zeitstempel umgesetzt wird, auf Einträge > x Tage?
Punkt 2 vielleicht noch um Einträge ergänzen, für die es eine Bestellung gibt. Dann hat der Kunde, der zwar als Gast bestellt, aber dachte er hätte ein Kundenkonto, nicht jedes mal den Captcha lösen muss. Vielleicht könnte man in diesem Fall eine Ausnahme machen und beim x-ten Versuch eine Rückmeldung geben "Kein Kundenkonto mit dieser E-Mail-Adresse vorhanden"?
Punkt 1: Nach Rücksprache mit dem Shopbetreiber hat der mich ziemlich verdutzt angeschaut. "Was soll ich denn da helfen?" . Man müsste dann wohl den technisch weniger versierten Shopbetreibern schon etwas mehr an die Hand geben. Meine Idee wäre hier eine Übersicht der customers_login mit den Einträgen die ein Kundenkonto haben oder mit der E-Mail-Adresse bereits bestellt haben, mit dem jeweiligen Vermerk "hat Kundenkonto" oder "hat Gastbestellung" ggf. noch mit der zusätzlichen Hilfe "letzte Kontoänderung am xx.xx.xxxx" und/oder "letzte Bestellung am xx.xx.xxxx". Als zusätzlichen Service vielleicht noch ein Button bei den Einträgen mit Kundenkonto, mit dem der Shopbetreiber eine E-Mail mit neuem Passwort auslösten kann (so wie "Passwort vergessen").
Bauchweh bereitet wohl der Kontakt mit dem Kunden. Zum einen wie Timm schon erwähnt hat (rechtlich? fühlt sich der Kunde belästigt?) und zum anderen sind wohl viele Shopbetreiber in dem Moment auch ratlos. Ich würde ja eine Mail formulieren nach dem Motto "Unser Sicherheitssystem eine eine vermehrte Anzahl von erfolglosen Loginversuchen für das Kundenkonto mir Ihrer E-Mail-Adresse registriert. Wenn diese von Ihnen stammen, können wir Ihnen behilflich sein?" . Jetzt die Frage: Was wenn nicht und der Kunde stellt auf einmal komische Fragen?
Grundsätzlich also ein klares
ja zu der Möglichkeit die Tabelle in einem Umfang X zu "reseten" (einzeln, "Gruppen", alle). Eher ein nein zu direkten Kontakt mit dem Kunden.