微软研究院的两位研究人员Stuart Schechter和Cormac Herley日前共同发表了一份论文称，根据他们的研究，网站要求用户使用复杂的密码，对提升整体安全性并没有任何帮助。

该报告还表示，实际上只有那些不担心竞争问题的机构才倾向于强制提高密码复杂性标准，比如政府网站。因为无惧用户因怕麻烦而投奔竞争对手，这些机构可以放心大胆的强制要求用户使用比如字母数字交叉，区分大小写的复杂密码。但研究证实“用户账户价值、受攻击数量和网站强制密码复杂度之间并无直接联系”。

很多网站禁止使用连续数字、相同字母、生日、用户名等简单密码，因为黑客使用“字典式攻击”即穷举的方式，可以很容易的破解这些密码。为应对此类攻击，网站往往会限制同一账户的密码尝试次数。不过黑客也有办法，对于那些用户成千上万的网站，他们不会在一个帐号上进行多次尝试，而是会使用最常见密码连续尝试数万个账户。

基于这种状况，该论文提出了一种新的安全机制。网站不需要限制用户使用简单密码，只需要限制不同用户使用相同密码的次数就可以了。一旦某个密码已经被一定数量的用户使用，此后就将不再允许其他人使用。

这样一来，由于没有任何一个密码在用户中广泛使用，将大大增加黑客字典式攻击的难度，效果并不比禁用简单密码差。当然，这种方法只适用于拥有极大量用户的网站，如微软Hotmail等。