如今,口令仍然是进行人机身份验证的主要方式之一,因为其具有实现简单、方便、容易修改等特点,在短时间内并不会被其他身份验证方式所取代。即使目前已经有很多加密算法和哈希算法可以保证用户口令不在传输过程中或数据库中泄露,但是口令的强度很大程度上取决于用户自身,如果用户设置的口令强度不高,那么这个口令很容易被攻击者通过猜测攻击猜测出来。在2009年发生了多起网站数据库泄露事件之后,出现了多种用户口令猜测攻击算法,这些攻击算法可以更有效地对用户口令进行猜测攻击。因此,对于口令安全问题进行研究分析具有重大意义。研究口令安全问题一方面可以总结用户在设置口令时的行为习惯,分析这些习惯是否会导致口令强度降低,并总结弱口令和强口令的标准。另一方面,通过这些研究可以引起用户对口令安全问题的重视,减少弱口令和口令重用问题的发生。本文基于2011年国内几大网站泄露的用户口令完成了下列工作。首先,本文从用户弱口令、口令长度、包含元素、常用词和字符组合等角度对真实的用户口令进行分析,总结了以汉语为母语的用户在设置口令时的习惯以及弱口令的一些特点,并从统计学角度对数据集进行分析、比较。得到的结论为,汉语背景的用户常用纯数字、纯小写字母或二者组合的口令,且习惯在口令中添加汉语拼音。用户使用的弱口令以连续的数字、多个重复的字符或包含特殊含义的数字组合为主。其次,基于对汉语背景用户口令的分析,本文提出了一种基于分词的顺序马尔可夫枚举模型(WS-OMEN),以分词的方式对口令进行较粗粒度的划分,再基于马尔可夫模型按概率从大到小的顺序生成口令猜测。将WS-OMEN模型与普通的OMEN模型进行比较,在生成一亿次口令猜测时,根据选择的训练集和测试集的不同,WSOMEN模型达到的口令覆盖率最少比OMEN模型提高了约3%,最多提高了约17%。最后,本文使用WS-OMEN模型对汉语背景用户的口令进行强度评估,并与一些商业网站所使用的用户口令强度评估方式进行比较。经过实验验证,WS-OMEN与只考虑口令长度和构成元素的NIST口令强度评估方法相比,能够识别出使用了汉语拼音等常用组合构成的口令,但是由于WS-OMEN在评估口令强度时不考虑口令长度和包含元素,在使用WS-OMEN进行口令强度评估时,需要额外考虑以上信息。针对这一问题,本文对WS-OMEN模型进行了改进。同时,基于以上研究内容和国内外的研究现状,本文给出了一些关于用户在设置口令时的建议。