本文针对密码安全性中的一个核心挑战——刻画攻击者的猜测曲线（即攻击者在G次猜测内破解随机用户密码的概率）进行严谨的统计分析。由于攻击者的猜测策略和用户密码分布均未知，作者遵循Kerckhoffs原则，分析一个了解密码分布的最优攻击者的性能。设λ_G表示该攻击者在G次猜测内破解随机用户密码的概率。作者提出了多种统计上严谨的技术，基于从未知密码分布P中抽取的N个独立样本，对λ_G进行上下界估计。这些上下界以高置信度成立，作者将其应用于分析八个大型密码数据集。实证分析表明，即使最先进的密码破解模型，其猜测效率也远低于一个能基于对密码分布的（部分）知识优化攻击的攻击者。作者还利用统计工具重新审视了密码分布的不同模型（如经验密码分布和Zipf定律），发现当猜测数G不太大（G≪N）时，经验分布与λ_G的上下界高度吻合；但对于较大的G，经验分布和Zipf定律会高估攻击者的成功率。此外，作者将统计技术应用于评估密码限速机制（密钥拉伸）的有效性，该机制用于减少攻击者的猜测数G。最后，在假设用户对密码限制有特定反应的前提下，作者利用统计技术评估了各种密码组合策略的有效性，这些策略限制了用户可选择的密码。本工作为密码安全性评估提供了统计严格的理论工具和实证方法。

该论文从文化产品（电影）中密码描绘的视角出发，系统分析了电影密码对观众密码行为与安全意识的潜在影响。研究团队选取了1990年至2023年间票房排名前250的电影，手动提取并编码出406个涉及密码的独立场景，建立了一个多维度标注的语料库。编码维度包括密码本身的长度、字符组成、是否包含个人信息、上下文（如是否在他人面前输入、是否被分享）、角色的人口统计学特征等。统计发现：电影中绝大多数密码由数字或简单字母构成，长度普遍较短（平均约6-8个字符），且很少包含特殊字符或大小写混合；密码使用者多为白种人、男性；密码常被口头分享或暴露在公共视线中。这些特征与安全专家推荐的复杂密码策略严重相悖。基于此，作者还开展了一组预注册的用户实验（N=400），让参与者对随机抽取的电影密码与真实世界密码进行安全性、可记忆性等方面的主观评判。结果显示，参与者普遍认为电影密码比真实密码更不安全，但两者在可记忆性上没有显著差异。论文进一步讨论了这种长期暴露于不安全密码描绘的环境是否会导致用户对脆弱密码的麻木或模仿，并提出了对安全意识教育、内容分级以及密码管理工具设计的启示。全文为学术研究性质，未涉及具体攻击方法或漏洞。

本文提出了一种名为 CoT-DPG 的基于协同训练（Co-training）的动态密码猜测方法。传统密码猜测方法通常依赖静态规则或预训练模型，难以适应真实场景下密码分布的动态变化。CoT-DPG 通过引入协同训练框架，利用两个不同视角的基分类器（分别基于结构特征和语义特征），在未标记的密码样本上相互迭代训练，从而提取更丰富的特征表示。该方法还设计了一个动态调整策略，能够在猜测过程中根据当前命中率自适应地切换攻击模式（如从基于规则的猜测转向基于神经网络生成的猜测）。实验在多个真实密码数据集上进行，结果表明 CoT-DPG 在猜测率（例如在 10^10 次猜测内）和效率上均显著优于现有的规则方法和纯神经网络方法，尤其是在针对新兴密码模式时表现突出。该工作为密码安全性评估和策略制定提供了更有效的工具。