對于安全專業人士來說，“iloveyou”這種口令，明顯比“ilovekale”（我愛吃紫甘藍）好猜許多。但根據卡耐基梅隆大學(CMU)主持，美國計算機學會發布的一項調查顯示，非專業人士對強口令的組成部分知之甚少。

密碼應該包含字母、數字、符號的老一套規則意味著，CMU網絡實驗室(CyLab)收到的回復中，認為“ieatkale88”和“iloveyou88”強度差不多的大有人在。

這部分人群還認為，“L0vemetal”比“Lovemetal”更難破解——雖然對自動化攻擊而言二者沒什么實際差別。

科學家們模擬攻擊了上述2個口令，雖然在引入字典后兩者都弱化了很多，“I love you”字符串也比“I eat kale”常見多了，后者比前者要多猜“40億次”才能猜到。

調查驗證方法特別簡單：CyLab的研究人員請165位參與者在線評出精心組合的口令對的安全性排名，并對現有口令和常見口令創建策略的安全性及易記性作出評測。

在充分研究的基礎上（看吧，數據泄露事件某種程度上是有好處的），他們確保了顯示給用戶的口令對中至少有1個來自于2009年RockYou數據泄露事件中那些易被猜出的口令。（編者注：2009年，RockYou網站3200多萬用戶信息遭黑客盜竊，RockYou最終被罰款25萬美元）

說來奇怪，參與者對安全口令特征的看法，竟然與今天的口令破解工具的表現相一致；但在醞釀自己的口令時，他們卻又不遵循自己明顯知道的原則。

當然，普通路人也毫不清楚攻擊者到底要猜多少次才能命中。因此，34%的人覺得能挺過50次猜解的就是安全口令了，67%認為猜5萬次都猜不出的，那真是相當好的口令。

IT狂人們則注定會把結果弄成隨機抽樣似的：4%覺得挨過10的14次冪次猜解才剛能摸到夠強壯的邊。

既然如此，筆者建議，最好還是弄個口令管理工具，再用強口令產生器而不是用你自己的大腦來設計口令比較好哦。