卡内基梅隆大学的计算机科学与工程教授，一直专注于易用的隐私与安全领域研究。平日里，她的朋友们常向她倾诉，使用计算机系统时的困扰，其中密码问题最为突出。

毕竟，设置一个自己能记住又不被他人猜到的密码就已不易，若在100个不同系统都有账号，每个账号还得设独特密码，简直难上加难。

在卡内基梅隆大学，2009年前密码要求极为简单，至少包含一个字符即可。但2009年底，学校推行新政策，要求密码至少8个字符，且要涵盖大写字母、小写字母、数字、符号，同一字符不能用超三次，还不能是字典里的单词。

新政策一实施，教授的同事和朋友们纷纷抱怨，觉得密码变得极难用。教授虽未参与决策，但好奇之下，向负责学校计算机系统的人员打听，得知学校加入大学联盟，联盟要求会员设置高熵值的强密码。

熵用于衡量密码强度，可实际上并没有标准的衡量方法。美国国家标准与技术研究院的指南也只是些经验法则，因为缺乏可靠的密码数据。

教授的研究小组看到了机会，他们想收集优质密码数据推动研究。于是拿着一袋糖果在校园里询问470名学生、教职工关于密码的问题，不直接问密码，而是了解密码长度、有无数字符号等。

结果发现新政策虽烦人，但让人感觉更安全，多数人知道不该写密码，仅13%的人会这么做。可高达80%的人会重复使用密码，这比写下来还危险。另外，学校允许的32种符号，人们实际常用的只有少数几种，符号对密码强度提升作用不大。

密码中符号的使用比例

这点数据远远不够，他们又从网上获取被盗密码集，不过因来源和创建背景不明，不太适合研究。

后来，研究小组利用亚马逊土耳其机器人服务，付费让人们按不同规则创建密码并参与调查，收集到5000个密码。

经测试发现，长密码和复杂密码强度高，但人们觉得复杂密码很麻烦，长密码可用性更高，有时甚至比复杂密码还强，这表明或许告知人们设置长密码更好。但部分长密码强度不够，还需额外要求，这也是他们正在研究的方向。

研究小组还测试了密码强度指示器，发现其确实有效，反馈慢些、让用户多费功夫的指示器效果最佳，而当下多数密码强度指示器反馈太宽松。

此外，他们还研究了密码短语和可发音密码。受xkcd漫画启发，他们研究密码短语，发现人们记住密码短语的能力不比记住随机密码强，且密码短语输入耗时、易出错。但可发音密码却出奇好用，他们也在深入研究。

因之前研究用的不是真实密码，研究小组与学校信息安全办公室合作，在不直接接触密码的情况下，分析了25000名师生的真实密码。

结果显示，计算机科学学院的人创建的密码比商学院的强度高1.8倍，且真实密码和土耳其机器人生成的密码有很多相似之处，验证了研究方法的有效性。

教授在卡内基梅隆大学艺术学院休假时，制作了名为 “安全毯” 的被子，上面是RockYou网站被盗的1000个最常用密码，按出现频率确定大小。

通过分类发现，密码里爱意表达比恨意多，动物相关词汇不少，“monkey” 最常见，排名第14。经询问，用 “monkey” 的人，约三分之一是因为宠物或朋友昵称，三分之一是单纯觉得猴子可爱。

“弱口令” 密码，如连续数字、电话号码、姓名生日等简单组合，极易被猜中或破解，不仅可能导致个人隐私泄露，更可能对重点涉密部门造成泄密风险。

国家安全机关提示，在数字化时代，单位与个人都应高度重视信息安全，增强网络防护意识，坚决避免使用弱口令。

不要在不安全的网络环境下输入密码，也不要将密码告诉他人。例如，在公共WiFi环境下，不要登录涉及个人隐私和财务的账号，以免密码被窃取。

总之，人们设置密码时，常选容易输入的常见模式，或与密码、账户相关的内容，也会基于开心的事。这样虽让密码输入和记忆更有趣，却也更容易被猜到。 你平时设置密码时，会考虑哪些因素呢？