Нет, контрольный журнал не показывает пароли неудачных попыток входа в систему. Используя контрольный журнал, вы можете определить такие вещи, как имя компьютера и пользователь ОС, который пытается войти в систему, но он не будет захватывать использованный пароль.
Поскольку это приложение регистрировалось в базе данных в течение многих лет, я предполагаю, что сама база данных обновлялась несколько раз, верно? Если да, то возможно ли столкнуться с проблемами чувствительности к регистру паролей в результате использования более старого клиента на стороне приложения? Если приложение подключается с компьютера с использованием более старого клиента, вы можете проверить этот вопрос: ORA-01017 Неверное имя пользователя / пароль при подключении к базе данных 11g с клиента 9i
Чтобы проверить эту гипотезу, вы можете попробовать войти в систему со стороны приложения, используя кавычки для передачи учетных данных. Из вопроса выше:
oracle9i по умолчанию используется в верхнем регистре, поскольку не учитывает регистр
чувствительность. вместо изменения базы данных на нечувствительную, вы можете
подключите, вставив пароль в двойные кавычки, например, `sqlplus
youruser / "Password" @db для передачи смешанного регистра.
Если это не так, и вы хотите определить, какой пароль передается из приложения, чтобы исключить этот путь, вы можете использовать такой инструмент, как Wireshark, чтобы прослушать трафик и посмотреть, можете ли вы узнать, какие учетные данные они используют, предполагая, что они не используют зашифрованное соединение. Пожалуйста, изучите этот вопрос только в том случае, если у вас есть полный контроль над сетью или разрешение соответствующих полномочий, поскольку это может быть незаконным или противоречить политике вашей организации использовать инструмент, подобный Wireshark, без разрешения.