Исследователи из университета Карнеги-Меллона разработали экспериментальный алгоритм подбора пароля, использующий грамматические правила, и проверили его эффективность на 1400 с лишним паролях длиной в 16 и более символов. Примерно 18% из этих паролей было составлено из нескольких слов, объединенных по правилам грамматики в короткую фразу. Хотя такие пароли легче запомнить, наличие структуры существенно ограничивает число возможных сочетаний и облегчает также и задачу взлома, указывают исследователи.
Длина пароля сама по себе не может характеризовать его надежность. Сложность взлома двух паролей одинаковой длины может отличаться на порядок в зависимости от их грамматической структуры. Например, местоимений в языке меньше, чем глаголов, прилагательных и существительных, и поэтому пароль Shehave3cats, начинающийся с местоимения She, гораздо слабее, чем Andyhave3cats, начинающийся с имени Andy.
Исследователи учли хорошо известные возможности замены букв похожими цифрами, изменения регистра и добавления в конце знаков препинания. Они тоже не столь заметно повышают надежность паролей, как утверждают некоторые, считают авторы.