本文针对网站密码创建策略（password creation policies）的大规模测量问题展开研究。过去学术界虽已深入探讨过密码策略对用户选择密码的安全性与可用性影响，并提出了基于证据的指导建议，但实际网站是否采纳这些建议仍缺乏系统评估。现有工作大多时间久远，且均依赖手动评估，覆盖网站数量有限（最多150个，且偏向顶级站点）。为弥补这一空白，作者开发了一种自动化技术，能够推断网站的密码创建策略（如最小长度、字符要求、禁止常见密码等）。该技术通过分析网页前端JavaScript、HTML属性以及可能的网络请求来提取策略规则，并在超过20,000个网站上进行了大规模应用，覆盖范围相比前人工作提升了两个数量级（约135倍）。研究发现，当前广泛部署的密码策略中，仍存在大量薄弱之处，例如：许多网站仅要求最小长度为8字符，未强制要求混合大小写、数字或特殊字符；部分网站甚至允许极短密码。此外，研究揭示了导致弱策略的潜在原因，包括未遵循业界最佳实践（如NIST指南）以及缺乏对安全与易用性的平衡。最后，论文提出了改进实际认证安全性的方向，例如推动更细致的策略建议、鼓励网站采用基于风险的验证等。该研究为全面理解Web密码策略提供了首个大规模基线，适合安全研究人员、网站开发者和政策制定者阅读。