根据微软蜜罐服务器网络收集的数据，大多数暴力攻击者主要试图猜测短密码，很少有攻击是针对长密码或包含复杂字符的凭证的。"我分析了超过2500万次针对SSH的暴力攻击所输入的凭证。这大约是微软安全传感网络中30天的数据，"微软的安全研究员罗斯·贝文顿说。 "77%的尝试使用了1到7个字符的密码。超过10个字符的密码只出现在6%的情况下。"他在微软担任欺诈主管，他的任务是创建看起来合法的蜜罐系统，以研究攻击者的趋势。在他分析的样本数据中，只有7%的暴力攻击尝试包括一个特殊字符。此外，39%的人实际上至少有一个数字，而且没有一个暴力尝试使用包括空格的密码。...

微软在2019年对超过30亿个公司账户进行了密码重用分析，以找出微软客户使用的密码数量。该公司从公共来源收集密码散列信息，并从执法机构获得额外数据，并将这些数据用作比较的基础。 对2016年密码使用情况的分析显示，约20%的互联网用户重复使用密码，另有27%的用户使用的密码与其他账户密码几乎相同。2018年的研究结果显示，大部分网民仍然青睐弱密码，而非安全密码。 像Mozilla或Google这样的公司都引入了改善密码使用的功能。谷歌于2019年2月发布了其密码检查扩展程序，并于2019年8月开始将其本地集成到浏览器中。该公司还于2019年在其网站上推出了针对Google帐户的新密码检查功能。...

讯 6月13日早间消息，今日凌晨，AcFun发布公告称，受黑客攻击，近千万条用户数据外泄，其中包含用户ID、用户昵称、加密存储的密码等信息。 AcFun向用户表示，如果在2017年7月7日之后一直未登录过AcFun，密码加密强度不是最高级别，账号存在一定的安全风险，恳请尽快修改密码。如果在其他网站使用同一密码，也请及时修改。 2017年7月7日，AcFun升级改造了用户账号系统。AcFun称，如果在此之后有过登录行为，账户会自动升级使用强加密算法策略，密码是安全的。但是如果密码过于简单，也建议修改密码。...

研究显示，大多数主要网站都通过密码保持基本安全性，但同时他们也可以是信息跟踪手段，特别是如果用户不小心使用其凭据，或网站管理或存储密码不当。Dashlane 于 8 月 9 日发布了密码性能排名调查。这项调查检查了主要消费者和企业 SaaS 和媒体服务密码安全性，结果非常令人震惊。 网站排名从零到五，零分是最差的得分，五分是最好的得分，三分是及格成绩。在排名评测当中，DashLane 考察了五个不同的东西：
密码长度：网站是否要求所有密码超过八个字符？...

美国国家标准和技术协会（ NIST ）今年 6 月提供的最新数字身份指南的新版草案中，指出不再推荐用户使用密码混合大写字母、字符和数字，也不再要求定期修改密码。因为研究显示此类要求并不能增加密码强度，NIST 认为最重要的是储存密码必须盐化 + 哈希 + MAC 处理。 不过，对于 2003 年一篇广为流传的密码混合大写字母、字符和数字的 NIST 安全专家建议文章，其作者前 NIST 主管 Bill Burr 开始承认当时提供的建议并不成熟，后来也被证实不是太奏效，当然也有媒体的一些误导总结，导致更多的曲解。...