Question

随着网络的快速发展，出现了种类繁多的网络应用，包括 E-mail、IM 即时聊天工具

（QQ、MSN）、网络商店、BBS 论坛、网络游戏等。各类应用均需要身份识别，因此身

份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制的方式对合法注

册用户进行授权。用户首先通过注册（账号与密码）成为网络服务器的合法用户，只有通

过身份认证的用户才能访问资源。账号与密码成为各类网络应用必不可少的一部分，与此

同时账号和密码所面临的安全问题也越来越多。

例如，2011 年某网站上 600 万用户资料可公开下载，而其存储密码的方式还是明文。

同时，2015 年某论坛泄露 2300 万用户的信息，泄露的 2300 万用户数据包括用户名、注册邮

箱、加密后的密码等。2015 年 10 月，某漏洞报告平台接到一起数据泄密报告后发布新漏

洞，该漏洞显示某网站用户数据库疑似泄露，影响到过亿数据，泄露信息包括用户名、密

码、密码密保信息、登录 IP 及用户生日等。

互联网上关于账号的安全问题日益凸显，本章总结的关于账号安全的相关漏洞包括密

码泄漏、暴力破解、弱口令、密码重置、登录账号绕过、重放攻击、网络钓鱼、信息泄

露、中间人攻击等。希望广大读者可以引以为鉴，不再出现此类问题。