网站的账号登陆安全是一个大的体系，个人研究也不深，只是随便说说。传统的黑客是针对单个账户生成密码字典进行暴力破解，大家都知道这个游戏规则,下面我就说点别的：

举个例子，就拿已经下线的百度说吧的一个登陆接口举例 http://t.baidu.com/tool/login

使用test账户登陆，输入多次错误密码后，登陆就会受限。

但是切换成test2账户再登陆，登陆却没用受限，任然可以尝试多次密码登陆。

看到这里，大家应该已经知道暴露的安全问题，网站只限制了单个账户的密码登录错误次数，没有考虑多账户登陆的情况。

如果大家仍遵循着定势思维，就会觉得这个没有什么问题，但实际上登陆的安全逻辑上已经出现了大问题！

现在的黑客早就不遵循老游戏规则了，他们黑站后长年积累了庞大的用户密码库，前段时间大量用户支付宝被盗就是因为类似的问题，有这么一个登陆接口没用考虑多账户登陆的安全问题，黑客写了个自动化的暴力登陆程序，根据自己收集的用户密码库构造了一份庞大的字典，一个账户登陆被限制了切换另外一个账户试，掏空了不知道多少支付宝用户的余额，想一想这样的安全问题是一件多么可怕的事情

by：RAyh4c