我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

太糟糕了，一个操作员就有这么大的不同。

我的目标是我曾经的客户。我无法登录，所以我打了客服电话。他们只问了我的用户名，没有问任何安全问题，也没有试图验证我的身份。然后，他们没有将密码重置发送到他们存档的电子邮件地址，而是问我该发送到哪个电子邮件地址。我给了他们一个不同于我文件上的地址，并重新设置了密码。

所以本质上，黑客只需要我的用户名，他就可以访问我的账户。这是一家至少90%的美国人都听说过的大银行。这件事发生在大约两年前。我不知道这是一个缺乏训练的客户服务代表还是这是标准程序。

我们有一个客户要求根据特定的HTTP引用器自动登录。所以你和我必须登录，但如果你点击了一个特定网站的链接，你就会自动以默认用户登录。

微软鲍勃 (来源:Dan's 20th Century Abandonware)

如果您第三次输入密码错误，系统将询问您是否忘记密码。

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

但是，你可以输入任何新密码，它会替换原来的密码，而不是像继续提示输入正确的密码，直到输入正确的密码，或者在多次尝试错误后锁定你!任何人都可以用任何密码“保护”的Microsoft Bob帐户这样做。

不需要事先进行身份验证。 他的意思是，用户1只需要三次输入密码错误，然后第四次输入新密码就可以更改自己的密码，而不必使用“更改密码”。

这也意味着User1可以修改User2, User3…以完全相同的方式。任何用户都可以更改其他用户的密码，只要输入三次错误密码，然后在出现提示时输入新密码，然后他们就可以访问该帐户。

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

对我来说，情况并没有那么糟糕，因为数据并不是那么敏感:

我得到了一个Excel文件，里面满是要更新的宏，每个表都是锁定的，宏部分有密码保护。我拿到了密码，但我想我还是试着破解一下吧。

我找到了一个程序，可以在大约十分钟内完成，其中大部分时间可能只是下载时间。这个神奇的产品是什么，能如此快速和轻松地突破Excel安全?OpenOffice.Org。

我不确定Office 2007是否在这一点上有所改进，但让我感到害怕的是，许多非技术人员可能正在使用Excel来操作敏感信息，并认为它是安全的。然而，这些类型的人可能甚至不知道它提供的“安全”功能。

几年前，一所学校托管了一个学习平台网站，可以上传。php文件到网站上，然后再执行，所以他们给了你整个网站的完全访问权限。还没有被其他学生发现，我认为这个错误仍然存在。