儘管經常上網的人們已經熟知各個線上服務對於密碼強度的規則要求，但卡內基梅隆大學（CMU）的CyLab安全隱私實驗室主任Lorrie Cranor認為，網站和用戶其實都可以做到更好。據悉，為了增強被黑客攻破的難度，許多情況下，線上服務都會要求用戶輸入至少8個（或10~12個）字符的密碼，並混用大小寫字母、數字、以及特殊符號。

資料圖

舉個例子，如果要求在密碼中混入數字，很多人可能旨在末位加個“1”。如果要求標點的話，可能只會多個感嘆號“！”。如果需要大寫的話，那可能首字母就是個大寫。

然而CMU 研究人員指出，這並不能讓你的密碼變得“更強”。為此，該研究團隊提出了一套新方案—— 在輸入了最低字符數後，安全檢查儀表板可給出更科學的建議。

通過持續數年的研究，這些技巧可讓密碼強度計和其它評估系統更好地工作（通常用顏色來區分密碼強弱），比如使用斜杠或隨機字母來分隔常用單詞，以便用戶跳過常見的密碼設置陷阱。

在一項實驗中，用戶被要求創建至少包含10 個字符的密碼，然後研究人員借助密碼強度計對其展開評估。

結果表明，儘管許多人在設置密碼時符合了安全檢查的所有要求，但還是很容易被猜破，因為大多數人都遵循著相同的思維模式。

在11 月的ACM 計算機和通信安全會議上，Lorrie Cranor 與研究合著者Joshua Tan、Lujo Bauer、Nicolas Christin 介紹了他們的最新發現，並希望有關方面能夠採納他們的建議。

不過就算最佳的線上服務密碼設置方案，可能還不如用一款靠譜的密碼管理器，來創建和記住分別針對每一個網站的隨機、超長、高強度密碼來得管用。