HRÍBIK, S. Znalost o hesle jako výhoda při útoku [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Aktivitu studenta hodnotím jako velmi dobrou, rozhodně nadprůměrnou. Zadání poskytovalo dostatek volnosti v řešení, přičemž zvolený způsob realizace považuji za vhodný s ohledem na případy užití, pro které je systém Fitcrack určen. Realizační výstup je funkční a jeho použitelnost student experimentálně ověřil. Rozsah technické zprávy je na bakalářskou práci velmi slušný. Z pohledu vedoucího hodnotím stupněm "B".
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Cílem práce bylo implementovat rozšíření systému Fitcrack, který vznikl v rámci projektu MV ČR TARZAN 2015-2020, a který je dále rozvíjen komunitou jako open-source. Účelem rozšíření je tvorba masek na základě existujících znalostí. Zadání považuji za splněné v plném rozsahu. | ||
| Práce s literaturou | Student využil doporučené literatury a další zdroje si samostatně dohledal. Kvalita i kvantita pramenů je adekvátní bakalářské práci. | ||
| Aktivita během řešení, konzultace, komunikace | Student byl během řešení aktivní a na konzultace docházel připraven. Dohodnuté termíny bez problémů plnil. Své softwarové řešení student pravidelně diskutoval se mnou i ostatními vývojáři systému Fitcrack. Vzešlé náměty a připomínky v implementaci zohlednil. | ||
| Aktivita při dokončování | Realizační výstup byl dokončen ve výrazném předstihu. Totéž platí i pro technickou zprávu, která je nemalého rozsahu a obdržel jsem ji k připomínkování v předstihu před odevzdáním. Mé připomínky student zapracoval. | ||
| Publikační činnost, ocenění | Student zveřejnil své dílo na portálu Github pod licencí MIT. Dále nabídl po SZZ spolupráci na uvedení svého rozšíření do produkce. Předpokládám zahrnutí studentovy práce do příští verze systému Fitcrack. |
Škoda, že se student více nezaměřil na politiky pro tvorbu hesla. Textová část práce je špatně pochopitelná a není jasný přínos práce v porovnání s nástrojem PACK. Vzniklo však reálně použitelné dílo splňující zadání (s výhradami uvedenými výše). Navrhuji práci hodnotit jako dobrou.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | |||
| Rozsah splnění požadavků zadání | Zadání vyžaduje, aby student nastudoval politiky (policies) tvorby hesla a zvyky uživatelů (habits). Politikám se student věnuje v sekci 2.3, ale ta pro mě není úplně pochopitelná ani po několikanásobném přečtení. Mám za to, že se student zabýval převážně zvyky uživatelů (habits), v práci také označované jako strategie. Pro plně splněné zadání měl student vyhledat politiky, či články, které se jimi zabývají a popsat je. Věřím, že kdyby se student více zabýval publikacemi [8], [15] a [14] (doporučených v zadání), mohlo být tohoto cíle dosaženo přesvědčivěji. Zadání práce očekávalo vytvoření útoků založených na tvorbě masek. Mám za to, že generalizace politik by spíše vedla na tvorbu gramatik. Proto je těžké odhadnout kam by se práce ubírala, kdyby byly politiky řádně prozkoumané. Je možné, že by bylo nutné se od zadání odklonit a více se zabývat gramatikami. | ||
| Rozsah technické zprávy | Podle https://app.fit.vut.cz/normostrany 72 normostran. | ||
| Prezentační úroveň technické zprávy | 60 | Práce není psaná logicky a pochopitelně. Podstatné informace se často čtenář dozvídá až pozdě. Některé aspekty návrhu jsem pochopil až při pročítání kapitoly testování. Případy použití jsou diskutované až v části implementace namísto návrhu, nebo ještě lépe v úvodu. Sekci 2.3 by bylo vhodné předřadit před sekci 2.2, aby bylo možné blíže popsat reakce uživatelů na politiky. Některé informace se opakují. | |
| Formální úprava technické zprávy | 70 | Práce je psaná angličtinou se silným nádechem doslovných překladů z češtiny (tzv. czenglish). Některé pasáže jsou těžko pochopitelné. Některé obrázky nejsou dobře čitelné. V práci se objevují zbytečně vynechaná místa a jiné typografické i jazykové nedostatky. | |
| Práce s literaturou | 75 | Práce pracuje s hodnotnými zdroji, ale jak jsem psal, postrádám zevrubné nastudování článků zabývajících se politikami tvorby hesla používanými organizacemi. Největší výhrady k práci s literaturou mám k části 2.3.2. Z textu není jasné, zda se autor zabývá spíše [15], nebo [16]. Vzhledem k tomu, že mně text nedával smysl, zjistil jsem, že [16] a že student zapomněl zmínit to, že v [16] se zkoumalo 8 politik tvorby hesla předem vybraných výzkumníky. Dále mám výhrady k tomu, že autor v teoretickém rozboru píše vlastní postřehy "I derive from this ...", které však nejsou v práci nikterak podložené. Navíc není jasné, zda se rozporuje dřívější výzkum. | |
| Realizační výstup | 80 | K nástroji vznikl manuál usnadňující použití a explicitně jsou vyznačené soubory FitCracku editované studentem. Zdrojový kód není nijak rozsáhlý. Je však dobře komentovaný. Automatizované testy jsem nenašel. Kapitola věnovaná testování nepopisuje kontrolu správného chování programu. | |
| Využitelnost výsledků | Vycházím z předpokladu, že postup práce byl skutečně konzultován s vedoucím. Pak vzniklo dílo, které odpovídá požadavkům vedoucího. Vzhledem k integraci do dlouhodobě vytvářeného projektu se dá očekávat praktické používání výsledků. Práce zmiňuje nástroj PACK, ale detailně nepopisuje výhody implementace oproti tomuto nástroji. |
eVSKP id 147706