Причина, по которой это НЕ делается, легко обнаруживается, если посмотреть, что может произойти на сайте, где это делается.

Однажды мне потребовалось улучшить хэш-пароль на сайте, который регистрировал плохие пароли (по какой причине они это делали, я не могу представить). Чтобы свести к минимуму неудобства пользователей, я сначала сделал автоматическую конвертацию пользователей по мере их входа в систему, но поскольку те, кто не входил в систему некоторое время, также нуждались в улучшенной защите, я попробовал взломать их, конвертируя все угаданные пароли в более высокий стандарт хэширования.

После недели перебора всего, что я знал: списки известных паролей из крупных утечек, таких как facebook, словари многих языков, перестановки и так далее, у меня осталось около 4 000 паролей людей, которые не вошли в систему, и которые я не смог взломать.

Я взял журнал плохих паролей за последние несколько лет, использовал эти пароли против невзламываемых паролей и взломал четверть оставшихся. То есть он угадал четверть действительно сложных паролей в системе, включая несколько учетных записей администраторов, и это означает, что мне нужно было сбросить пароли только 3 000 пользователей, а не 4 000.

Поэтому я считаю, что ценность такого журнала для злоумышленника невозможно переоценить.

Просто нет веских причин для регистрации неудачных паролей, и есть все причины избегать этого - в случае утечки этих данных вы раскрываете информацию о входе для большого числа пользователей. Эти "неудачные пароли" будут паролями, которые они сменили, или которые они используют для других учетных записей в вашей системе, или которые они используют в других системах (их банк, их электронная почта...)

Сохраняя такой журнал, вы подвергаете опасности своих пользователей без реального преимущества в безопасности.