尽管经常上网的人们已经熟知各个线上服务对于密码强度的规则要求，但卡内基梅隆大学（CMU）的 CyLab 安全隐私实验室主任 Lorrie Cranor 认为，网站和用户其实都可以做到更好。据悉，为了增强被黑客攻破的难度，许多情况下，线上服务都会要求用户输入至少 8 个（或 10~12 个）字符的密码，并混用大小写字母、数字、以及特殊符号。

举个例子，如果要求在密码中混入数字，很多人可能旨在末位加个“1”。如果要求标点的话，可能只会多个感叹号“！”。如果需要大写的话，那可能首字母就是个大写。

然而 CMU 研究人员指出，这并不能让你的密码变得“更强”。为此，该研究团队提出了一套新方案 —— 在输入了更低字符数后，安全检查仪表板可给出更科学的建议。

通过持续数年的研究，这些技巧可让密码强度计和其它评估系统更好地工作（通常用颜色来区分密码强弱），比如使用斜杠或随机字母来分隔常用单词，以便用户跳过常见的密码设置陷阱。

在一项实验中，用户被要求创建至少包含 10 个字符的密码，然后研究人员借助密码强度计对其展开评估。

结果表明，尽管许多人在设置密码时符合了安全检查的所有要求，但还是很容易被猜破，因为大多数人都遵循着相同的思维模式。

在 11 月的 ACM 计算机和通信安全会议上，Lorrie Cranor 与研究合著者 Joshua Tan、Lujo Bauer、Nicolas Christin 介绍了他们的最新发现，并希望有关方面能够采纳他们的建议。

不过就算更佳的线上服务密码设置方案，可能还不如用一款靠谱的密码管理器，来创建和记住分别针对每一个网站的随机、超长、高强度密码来得管用。

（消息来源：cnBeta；封面来自 *** ）