本文针对密码安全性中的一个核心挑战——刻画攻击者的猜测曲线（即攻击者在G次猜测内破解随机用户密码的概率）进行严谨的统计分析。由于攻击者的猜测策略和用户密码分布均未知，作者遵循Kerckhoffs原则，分析一个了解密码分布的最优攻击者的性能。设λ_G表示该攻击者在G次猜测内破解随机用户密码的概率。作者提出了多种统计上严谨的技术，基于从未知密码分布P中抽取的N个独立样本，对λ_G进行上下界估计。这些上下界以高置信度成立，作者将其应用于分析八个大型密码数据集。实证分析表明，即使最先进的密码破解模型，其猜测效率也远低于一个能基于对密码分布的（部分）知识优化攻击的攻击者。作者还利用统计工具重新审视了密码分布的不同模型（如经验密码分布和Zipf定律），发现当猜测数G不太大（G≪N）时，经验分布与λ_G的上下界高度吻合；但对于较大的G，经验分布和Zipf定律会高估攻击者的成功率。此外，作者将统计技术应用于评估密码限速机制（密钥拉伸）的有效性，该机制用于减少攻击者的猜测数G。最后，在假设用户对密码限制有特定反应的前提下，作者利用统计技术评估了各种密码组合策略的有效性，这些策略限制了用户可选择的密码。本工作为密码安全性评估提供了统计严格的理论工具和实证方法。