对于安全专业人士来说，“iloveyou”这种口令，明显比“ilovekale”（我爱吃紫甘蓝）好猜许多。但根据卡耐基梅隆大学(CMU)主持，美国计算机学会发布的一项调查显示，非专业人士对强口令的组成部分知之甚少。

密码应该包含字母、数字、符号的老一套规则意味着，CMU网络实验室(CyLab)收到的回复中，认为“ieatkale88”和“iloveyou88”强度差不多的大有人在。

这部分人群还认为，“L0vemetal”比“Lovemetal”更难破解——虽然对自动化攻击而言二者没什么实际差别。

科学家们模拟攻击了上述2个口令，虽然在引入字典后两者都弱化了很多，“I love you”字符串也比“I eat kale”常见多了，后者比前者要多猜“40亿次”才能猜到。

调查验证方法特别简单：CyLab的研究人员请165位参与者在线评出精心组合的口令对的安全性排名，并对现有口令和常见口令创建策略的安全性及易记性作出评测。

在充分研究的基础上（看吧，数据泄露事件某种程度上是有好处的），他们确保了显示给用户的口令对中至少有1个来自于2009年RockYou数据泄露事件中那些易被猜出的口令。（编者注：2009年，RockYou网站3200多万用户信息遭黑客盗窃，RockYou最终被罚款25万美元）

说来奇怪，参与者对安全口令特征的看法，竟然与今天的口令破解工具的表现相一致；但在酝酿自己的口令时，他们却又不遵循自己明显知道的原则。

当然，普通路人也毫不清楚攻击者到底要猜多少次才能命中。因此，34%的人觉得能挺过50次猜解的就是安全口令了，67%认为猜5万次都猜不出的，那真是相当好的口令。

IT狂人们则注定会把结果弄成随机抽样似的：4%觉得挨过10的14次幂次猜解才刚能摸到够强壮的边。

既然如此，笔者建议，最好还是弄个口令管理工具，再用强口令产生器而不是用你自己的大脑来设计口令比较好哦。