หลายเว็บทุกวันนี้จะมีมิเตอร์วัดความแข็งแรงของรหัสผ่านเพื่อจูงใจให้ผู้ใช้ตั้งรหัสผ่านให้ยากขึ้นกว่าเดิม แม้มิเตอร์นี้จะเตือนคนที่ระวังตัวได้ว่าให้ตั้งรหัสผ่านที่คาดเดาได้ยาก แต่ไม่เคยมีการศึกษาในวงกว้างว่ากับคนทั่วไปแล้วรหัสผ่านนั้นเดายากง่ายเพียงใดเทียบกับรหัสผ่านที่ไม่มีมิเตอร์บอกระดับความแข็งแรง
ทีมวิจัยร่วมระหว่างมหาวิทยาลัยแคลิฟอร์เนียเบิร์กลีย์, มหาวิทยาลัยบริติชโคลัมเบีย, และไมโครซอฟท์ ร่วมกันทำวิจัยวัดผลของการใส่มิเตอร์วัดความแข็งแรงเช่นนี้ลงในหน้าตั้งรหัสผ่าน โดยการทำหน้าเว็บพอร์ทัลสำหรับนักศึกษาของมหาวิทยาลัยบริติชโคลัมเบียให้แจ้งนักศึกษาให้เปลี่ยนรหัสผ่าน
นักศึกษาที่ได้รับแจ้งให้เปลี่ยนรหัสผ่านจะได้รับหน้าจอต่างกันไปสามแบบได้แก่ หน้าจอเปลี่ยนรหัสผ่านไม่มีมิเตอร์ใดๆ, หน้าจอเปลี่ยนรหัสแบบมีมิเตอร์วัดความแข็งแรง (existing motivator - EM), และหน้าจอเปลี่ยนรหัสแบบบอกความแข็งแรงของรหัสเทียบกับผู้ใช้ทั้งหมดในระบบ (peer pressure motivator - PPM)
ผลการทดสอบการบอกให้ผู้ใช้ตั้งรหัสใหม่โดยไม่มีเงื่อนไขใดๆ ทำให้ผู้ใช้ตั้งรหัสที่มีความซับซ้อนเท่าเดิม วัดเป็นค่า entropy ได้เฉลี่ย 49.3 บิต ขณะที่การบอกความแข็งแรงแบบ EM ทำให้ผู้ใช้ตั้งรหัสที่แข็งแรงขึ้นเป็นเฉลี่ย 60.8 บิต และการวัดความแข็งแรงแบบ PPM ทำให้ผู้ใช้ตั้งรหัสแข็งแรงขึ้นเฉลี่ยเป็น 64.9 บิต
ทีมวิจัยวัดความสามารถในการจำรหัสผ่านที่ตั้งขึ้นใหม่ด้วยการให้ผู้ทดสอบเข้ามาล็อกอินใหม่ในสองสัปดาห์ต่อมาและพบว่ารหัสที่ตั้งใหม่แม้จะมีความแข็งแรงต่างกัน แต่ผู้ใช้กลับสามารถจำได้ไม่ต่างกันมากนัก
ความท้าทายอย่างหนึ่งคือการหาสูตรวัดความแข็งแรงของรหัสผ่านที่ได้ผลจริง แนวทางทุกวันนี้ที่ใช้การให้คะแนนด้วยการวัดการใช้สัญลักษณ์และตัวเลขอาจจะไม่ใช่แนวทางที่ดีนักเพราะการใช้งานจริงผู้ใช้มักใช้สัญลักษณ์ที่สามารถสื่อแทนตัวอักษรได้ง่าย เช่น "$" แทน "S" ซึ่งเป็นแนวทางที่รู้กันดี และเพิ่มความแข็งแรงได้ไม่มากนัก
ที่มา - ArsTechnica