一叶千鸟的blog：http://www.rexsong.com/blog/

密码强度提示是最近流行的一个功能，但是99%的案例都忽略了检测机制。

基本上都是把字符分成四类：数字、小写英文、大写英文、符号，然后按照组合复杂度来直接判断强弱程度：

• 单一，是弱密码。
• 两两组合，是中密码。
• 超过两种组合，是强密码。

事实上是这样么？这只是在最理想情况下，应付穷举的机械方案，根本没有对应用户的心理模型（就是以用户为中心），可以说毫无用处，Live注册表单就是此类案例的典型，居然说“#%^&**(”是弱密码，你记住试试！

那么用户是如何选择密码的，先看看Google注册表单的解决方案，进行几个测试：

“888888”，弱
“12345678”，弱
“design”，一般
“vision”，一般
“12345567”，很好
“26380445”，极佳
“szzhong”，极佳
“#%^&**(”，极佳
“wau657”，极佳

大概能看出是按使用习惯进行判断，比如：常用的数字组合、普通英文单词，差不多就是Google机制里的“弱”和“一般”两个等级。根据暴力破解的密码词典制作知识，按照正常逻辑反推很容易得出结论，但肯定不是随意组合这么粗糙。

如果想更完善，可以参考Google代码，除了“太短”，If the password server is down 的情况都考虑有，官方说明这是新开发的功能，我觉得很不错。

这个案例同时证明，改善用户体验不仅仅是要做出样子，而且要做彻底，否则就是误导和干扰。