Na velikem številu primerov gesel so raziskovalci kanadske Univerze Concordia s pomočjo empirične analize preizkusili številne merilce moči gesel in prišli do ugotovitev, da so merilci v nekaterih primerih zavajajoči.
Raziskali so učinkovitost merilcev moči gesel na priljubljenih spletnih straneh, kot so Dropbox, Apple, Google, eBay, Microsoft, Twitter, PayPal in Yahoo!. Prav tako so se posvetili raziskavi aplikacij za upravljanje z gesli, na primer aplikacijam LastPass, 1Password ter KeePass.
Orodja so testirali na vzorcu kar 9,5 milijona gesel iz javno dostopnih baz, vključili pa so tudi tista, ki so v javnost prišla ob raznih hekerskih aferah.
Merilci moči gesel večinoma obravnavajo dolžino gesla ter raznolikost znakov, na primer uporabo velikih in malih črk, številk ter simbolov. Nekateri pa poskušajo tudi prepoznati pogosto uporabljene besede ali besedne zveze ter jih označijo za slabo prakso.
Presenetljiva je ugotovitev, da orodja pogosto ignorirajo mnoge enostavne vzorce ter ne obravnavajo takoimenovanih “leet” transformacij besed. Pri teh transformacijah gre za spremembo nekaterih črk v številke, ki so jim najbolj podobne. Tako 4 predstavlja A, 1 predstavlja l in tako dalje. To daje prednost hekerjem, ki vedo, da so take spremembe besed v geslih pogoste.
Orodja so prikazala tudi precejšnjo nekonsistenco, saj so podobna gesla, ki so se denimo razlikovala le za en znak, označila za popolnoma različnih moči. Prav tako imajo različne spletne strani različna merila za kategorizacijo gesel. Geslo “Paypal01” Skype prepozna kot slabo, PayPal pa kot močno.
Strokovnjaki opozarjajo, da take razlike med ponudniki spletnih storitev povzročajo, da se uporabniki odločajo za manj varna gesla v veri, da so dovolj dobra. Zato se nekateri zavzemajo za uvedbo enotnega algoritma za preverjanje moči gesel. Dober primer naj bi bil sistem, ki ga uporabljata Dropbox ter KeePass.
