Записывать неверные попытки имени пользователя / пароля с помощью передовой практики IP?

Я разработал приложение для интрасети и реализовал собственный поставщик членства ASP.NET с проверкой подлинности с помощью форм. Я подумал, что было бы неплохо регистрировать все неудачные попытки входа в систему в СУБД. Поэтому я создал таблицу со следующей моделью:

Теперь мой вопрос :

Это хорошая практика - хранить это по соображениям безопасности или это даже запрещено по причинам защиты данных (Германия) ? Я сохраняю исходные пароли, хешированные в db, но неправильные пароли (или правильный pw с неправильным именем пользователя) в таблице журнала отображаются в виде открытого текста.

Кто-то может возразить, что каждый, у кого есть доступ к этой таблице, может получить пароли пользователей не только для этого приложения, но и для других, потому что люди, которые забыли свои пароли (или свое имя пользователя), могут попробовать и другие.