在该电子表格中，用户可以输入自己的密码政策（包括长度、字符集、最大年龄、是否启用复杂度标准），选择一个熵模型，并输入攻击者每分钟可以尝试的密码猜测数目。

    我碰到的最常见的问题是：每分钟最现实的猜测攻击数目是多少？这得取决于一系列因素，其中包括从源头到目的地的带宽是多少、源头和目的地计算机资源的使用情况、是什么应用程序遭到攻击、锁定规则、受到攻击的系统是什么类型、其他的防御机制，还包括用于攻击的线程数目。

    有许多的攻击工具（包括Brutus和THC的Hydra）可以让多线程同时启动。使用这些工具，攻击者可以从多个源头对一个目标同时发起攻击，而攻击线程的数目则会迅速的增长。当我在进行渗透测试时，在一分钟之内就可以轻易产生几百个用于密码猜测的线程，但更需要引起重视的是，大多数的系统在此时会开始陷入瘫痪，许多系统甚至会完全崩溃。所以，你不得不使用自动化工具进行自己的现实世界密码猜测测试，从而确定应该输入电子表格的有效范围。

    你可以使用这个密码猜测电子表格来模拟各种情形的攻击，但我常常展示的一种攻击情况包含以下这些输入：8个字符的密码、使用复杂性选择、94符号的字符集、每过90天更改一次密码。在一般情况下，攻击者每分钟只需进行65次猜测就可以破解这一政策下的密码，这并不是一件很难完成的任务。

    事先声明，我不对我的这一电子表格可能会产生的错误负责，因为它可能包含大量的错误，不能完全依赖产生的测试结果。你应该进行自己的密码审计测试，从而作出相应的决定。除此之外，这个电子表格完全没有考虑其他一些真正构成的密码强度的因素（系统控制、其他防御机制、物理安全、终端用户的大脑）和所有其他各种各样的密码攻击，如按键记录、侧通道（side-channel）攻击、社会工程学、钓鱼、嗅探和搜寻垃圾（dumpster diving）。

    这也就是说，它只是一个可以考虑的、有趣的电子表格。我打算以后对它进行更新，让它具有更好的信息、更高的准确性，并使它具备更好的熵模型。

    如果不在这里提及我强烈推荐给大家的密码政策，那么这篇专栏文章将是不完整的。普通用户的密码最少应有10至12个字符（最好是12个或更多）；特权帐户密码应该有至少15个字符，而且每90天至120天就应更改一次。禁用强度不高的哈希算法，从而避免密码被攻击者破解。我不是一个支持密码复杂性的粉丝，因为它并不能提供人们所期望的那种保护能力，但你通常不得不把它纳入到自己的密码政策里，以满足审计的要求。

    希望各位玩这个电子表格能够玩得愉快！