2、账号权限/身份被劫持

3、垃圾账号注册。这个对于普通用户来说可能感觉不到这个安全问题，但是对于一个提供服务的实体来说，有海量的垃圾信息，垃圾账号注册进来，势必会干扰到他提供的服务。

4、账号被拒绝服务。这个在银行见的比较多，有人会尝试你的密码，输你的用户名密码，尝试N次之后，银行觉得太有危险了，把你的账号暂时冻结了，这个账号就被拒绝服务了。常见有这么几类，其实我们最关心的普通用户应该是前两类，第一类是耳熟能详，一讲就明白的;第二类是偏技术了，普通人搞不太懂，可能就从业人员比较容易理解。

现在使用账号密码是最主流的身份认证方式，输完用户名密码点登录，就可以在网站上操作，这是最常见的方式。身份认证是账号安全最关键的一个环节，你这个信息记在脑子里头，如果不进行认证，永远不会被泄漏，你只有在去认证，在暴光过程中才可能出现问题。

账号安全防御将基于多种风险假设，我们假设账号泄漏，泄漏之后怎么办，假设黑客可以入侵我们的服务器，我们应该怎么办;假设黑客已经将账号盗取，并且登录，已经得到权限，我们应该怎么办？这是我们防御的时候应该思考的一些问题。

账号安全问题现状刚才说账号的一个薄弱环节是身份认证，现在身份认证的一些基本类型：

1、基于口令的身份认证

2、Kerperos身份认证协议。基于口令的身份认证，现在大多数网站，或者是Web都是提供这样的认证方式，一些机房、运维管理人员，他可能会用到kerperos这种协议，现在已经升级到V5版本。口令认证和Kerperos认证都有它的缺陷，我在09年的时候发现Kerperos的一个缺陷，其实它有一个linda到现在还没暴出来。

3、基于X509的身份认证4、基于生物特征的身份认证每个认证方式，如果你去仔细了解它，或者说让专业发觉漏洞的人去研究，可能发现一些问题。对于普通用户来说，身份认证只是一个麻烦，对于高手来说可能形同虚设。

基于密码的身份认证，一般会涉及到账号名称、密码这两条静态信息，认证周期有一个客户端输入、网络传输、服务端认证，认证后的一个分配权限。这几个环节里头每一个环节出现问题，都会导致账号安全问题，前两者有可能被泄漏，有的用户觉得密码是一个隐私，是不能泄漏的，但是对账号不太注意。其实，账号、密码作为两个因子，在认证的时候是一样的，包括传输过程，客户端的一些安全，这个涉及的层面比较多，也是整个安全行业长期对抗的一个安全问题。

密码的特点：之前我们不太清楚密码的特点，我们只能说密码不能小于6位，因为小于6位的话，现在的计算技术非常快，可以暴力的去破解。

1、普通用户平均只能记住7个密码，而且这7个密码里头两到三个是常用的，另外那三个不一定马上想起来。我们以前经常看到一个安全侧率，就是说要定期修改密码，如果一个人只能记住两个密码，可能会把新密码忘掉，这个账号被自己封禁了。另外一种就是他改来改去就是这两个密码，等于没改，在那里折腾，折腾的越多相当于密码暴光的次数越多，本身更是不安全的事情。我个人非常反感让我不停改密码，对于普通用户来说他做不到不停更换新的密码，这是运维人员，这是专业人员应该做的，不应该要求普通用户。

2、用户在不同网站的用户和密码很大程度是相同的。这个相同我个人是没办法的，因为我不是负责网站的，就算我负责网站，我也不知道用户不同密码是什么，这很大程度上是一种猜测，或者最近网络谣言四起，就说N个网站被泄漏，发现N个网站相同度很高。

3、70%以上用户都在存储介质上记录过自己的密码。

4、500种模式的弱口令就可以覆盖82%的互联网用户。这个抽样数据来源应该是5000万的规模，这5000万代表国内的活跃用户程序，懂互联网的人用500种密码搞定82%的人，不懂安全的人可能是100%的命中率，一种模式是你的生日，19851212这种模式，但是另外一个用户生日不一样，每个人生日是不同的，但是随着互联网的发展，我们的数据天天在泄漏，我们就是追求极端的安全防御，但是泄漏是避免不了的，生日数据已经不是什么隐私了。假设有一天所有身份证信息被泄漏了，身份证信息又会包含生日信息，以生日信息做密码的就非常危险。

当前阶段密码认证的安全威胁：1、至少90%以上的网站登录过程都不适用https 2、黑客组织非法拥有大量账号密码数据3、密码MD5和对应明文的字典数据4、网站登录只做单向认证，用户密码容易被骗，什么是单向认证？我把密码告诉你，你看一下来确认我的身份，但是我不知道你是不是我要找的那个人。这个体现在一些安全问题比如说钓鱼网站，用户并不知道这个网站是不是淘宝网，他可能把密码输进去，我们能做的是把单向认证改为双向认证，单向认证，https是一种方向认证，但是https不管从AI上来讲，还是用户欧使用来上讲，很难感觉是一个双向的认证，还认为是单向的认证。

5、窃取身份证成功后的tickit比窃取密码本身更加容易。从技术角度看，盗取一个tickit，要比盗取密码更加容易，我们看到很多网站，国内的都不能例外，我们在登录的采用的https传输的密码是加密的，我们是破解不了的，但是一旦身份认证完成之后，https协议来换跳转页面，他买到的这个票tickit被人劫走，也容易盗取到密码。

账号被滥用的几个主要途径：

1、第三方泄漏

2、钓鱼网站

3、口头诈骗

为什么说第三方泄漏，我们不清楚是不是第三方泄漏，我们每天看到，我们在一两年前就已经看到，有人拿着千万级别的用户密码数据，来尝试做登录，我们做防御。如果一个黑客在攻一个系统，攻不下去的时候，可能会转向弱的系统，当黑客尝试完所有的网站之后，觉得没有价值了，这个数据不值钱了，就便宜卖给别人。当有客户直接操作的人，把这些数据专卖给垃圾消息的时候，这个数据就被泄漏了，从专业角度看，账号泄漏绝对不是一个月之前的事情，而是一年前，两年前，或者更久以前的事情。就算今天一个网站泄漏了，那也不明天被暴出来，而是价值利用的一点意义都没有的时候再暴露出来。

SNS网站泄漏，是用的最多的，是黑客盯梢的重点。email网站泄漏，是现在常用的。我们的账号体系大部分用中文名称再登录，就跟一个QQ号一样，拿一个邮箱登录QQ不太现实的，那个用户除非他傻。我们也很有幸，我们的盗号量一直在下降，但是从外部来看盗号安全问题是严重的，今年没有去年严重，只不过是今年利用完之后被扔出来了。

钓鱼网站越来越猖獗，也是我们淘宝网重点防护的对象，钓鱼网站有一个很大的特点，刚开始完全是骗子，到现在我完全可以注册一个真的网站，我不模仿淘宝，你只要输送用户密码，我送你100条短信。未来的钓鱼网站没有任何诈骗迹象，他就是一个普通网站让你注册，注册完成之后就变成第三方泄漏，钓鱼网站会向第三方靠拢。

口头诈骗，是我们技术人员关注比较少的，从后台数据来看，口头诈骗这招屡试不爽，在账号安全里面，我们最头疼的不是黑客把数据破解了，一个用户在能到一个电话之后，一步一步的操作，把资金转给别人，这样一些问题。这个问题暴露了基础安全有待提高的现象，应该说就算是专业的从业人员，每个人的安全素质也是不一样的，一个机房里面测试做得再好，如果他的保安人员意识特别差，高手来了也很容易进去。有人昨天给我开玩笑，搞IBC不需要什么高深的技术，拿一包炸药，炸掉IBC大楼，什么事情都解决了。一个大楼被炸掉的风险究竟有多大，这个我们要评估，地震概率有多大，我们也要评估，我们做安全也不可能尽善尽美，就是安全的，账号永远不被泄漏，这个基本在理论上是不可能的，我们会评估我们的价值，我们该投入多少钱，风险有多大，带来的损失有多大，然后评估。

账号被滥用前三种是我们比较头大的，之前通过木马，或者漏洞，大家了解的比较多，我不多介绍了，从数据来看已经排到后面去了，现在木马盗号，网游产业比较常见。

CNNIC调查报告，2011年上半年密码被盗比例，如果一个用户明确知道自己账号被盗，这个意识还不错的，基本上我的账号被盗的时候，我是不知道的，高手是神不知鬼不觉的。这个调查已经说明了，我们有四分之一的用户账号被盗过。

二、账号安全防御

1、服务端账号信息防泄漏，我们怎么防信息泄漏？举一个例子，我们家里500万，怎么担心这个钱丢，花两万块钱买一个保险柜，傻子才会这样做，人家直接把保险柜拎走就可以了。我们应该去做投资，做转换。

2、身份认证协议改进。基于简单口令的认证，适合不适合再这么搞下去，哪些认证协议应该全行业大家一起推广，也是大家要思考的。

3、账号权限票据的监控4、垃圾账号注册过滤服务端防泄漏：服务端不存储明文，零知识认证过程。我的身份认证不能真的拿一个确切的身份信息，还是说我认证的过程中，不管是从开始到结束，对方是不知道我的具体信息的。

(责任编辑：)