经过近十年的研究，卡耐基梅隆大学的CyLab安全与隐私研究所的密码研究小组制定了一项在安全性和可用性之间保持平衡的密码创建政策，并且该政策具有科学性。

设定密码的时候，你需要忘记所有关于大写和小写字母、数字和符号的规则。并且你的密码至少需要12个字符，还需要通过研究人员开发的实时强度测试。

这项研究将在下月举行的ACM计算机和通信安全会议上发表，该会议将以虚拟形式举行。

CyLab的主管Lorrie Cranor说:“我们开发的这个政策允许用户创建更容易记住的密码，并且更安全的抵御复杂的攻击。”Lorrie Cranor是软件研究所(ISR)和工程与公共政策学院(EPP)的教授。“有趣的是，我们的数据显示，使用大写字母、符号和数字这些字符时，并不会像其他要求那样增加密码强度，而且往往会对密码的可用性产生负面影响。”

2016年，研究人员开发了一种由相对较小的人工神经网络驱动的密码强度计，这种神经网络只有几百千字节，小到足以将密码编码到浏览器中。强度计给用户一个强度评分，并实时提供建议。查看仪表的演示。

电子和计算机工程(ECE)和ISR的教授Lujo Bauer说:“这是一种游戏规则的改变，因为在此之前，没有其他密码表提供关于如何增强密码的精确、数据驱动和实时反馈。”

配备了这种最先进的密码计量器后，研究人员从一个全新的角度来研究密码策略:即密码必须在密码计量器上达到一定的阈值。这个新观点让研究人员发现了密码强度和长度之间的一个阈值——这个阈值导致用户创建的密码比在普通密码策略下更强、更有用。

为了达到这一发现，研究人员进行了在线实验，评估最小长度要求、字符级别要求、最小强度要求和密码列表的组合——这些单词由于使用普遍而不允许在密码中使用。

在在线实验中，研究参与者被要求在随机分配的密码策略下创建和回忆密码。首先，参与者假定他们的电子邮件提供商被攻破，需要根据他们的分配策略创建一个新密码。几天后，他们被要求回忆自己的密码，以此来衡量密码策略的可用性。

ISR和EPP教授尼古拉斯•克里斯汀表示:“我们发现，要求12个字符的最小强度和最小长度的策略，在安全性和可用性之间达到了良好的平衡。”

尽管黑名单和最低强度策略可以产生类似的结果，但最低强度策略被灵活地配置到所需的安全级别，而且它们更容易在高安全性设置中与实时需求反馈一起部署。

ISR和CyLab的博士后研究员Joshua Tan说:“现在我们正在为密码政策提供具体的指导，我们乐观地认为公司和组织可能会采纳我们的建议。”