MLÁDEK, J. Interaktivní nástroj na tvorbu pravidel pro modifikaci hesel [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Studentův aktivní přístup vedl ke vzniku velice pěkné bakalářské práce. Realizační výstup hodnotím jako vysoce přínosný, neboť si nejsem vědom, že by v této "branži" existoval jiný software se stejnou funkcionalitou, kompatibilní s nástroji Hashcat a John the Ripper. Doporučuji hodnocení "B".
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Cílem práce bylo vytvořit řešení pro interaktivní tvorbu tzv. "password-mangling rules" ve formátu kompatibilním s nástroji Hashcat a John the Ripper. Dále měl autor řešení integrovat do systému Fitcrack, který vznikl v rámci projektu MV ČR TARZAN 2015-2020, a který je dále rozvíjen komunitou jako open-source. Pozn.: Student se s vedoucím dohodl, že nástroj bude implementován přímo jako součást systému Fitcrack, neboť tato volba umožní lépe využít potenciál propojení s integrovanou knihovnou slovníků a pravidel, které už v systému jsou. Zadání považuji za splněné v plném rozsahu. Student nad rámec zadání realizoval také uživatelské testování. S ohledem na skutečnost, že práce je z velké části o uživatelském rozhraní, tento nápad vítám. | ||
| Práce s literaturou | Student využil doporučené literatury a další zdroje si sám aktivně dohledal. Kvalita i kvantita literárních pramenů je na bakalářskou práci více než dostačující. | ||
| Aktivita během řešení, konzultace, komunikace | Student byl během řešení aktivní, dohodnuté termíny dodržoval a na konzultace docházel připraven. | ||
| Aktivita při dokončování | Práci mi student odevzdal k připomínkování ve smluveném termínu v předstihu před odevzdáním. Obsah však bohužel ještě nebyl definitivní, jelikož kapitola o experimentech byla hotová pouze z části. Mé připomínky k existujícímu textu nicméně student zapracoval a zmíněnou kapitolu zvádl i bez připomínek pěkně zpracovat. | ||
| Publikační činnost, ocenění | Student zveřejnil zdrojové kódy své práce formou open-source na portálu Github pod licencí MIT. |
Práci doporučuji hodnotit jako velmi dobrou stupněm B. Autor nastudoval rozsáhlou doménu obnovy hesel a soustředil se na útoky využívající soubory pravidel. Průzkum existujících možností zvažuje alternativní uživatelská rozhraní, ale jak autor správně konstatuje, uživatelská zkušenost při práci s nimi není při zvážení dnešních standardů nejpříjemnější. Student úspěšně implementoval rozšíření systému FITCrack, které umožňuje jeho uživatelům komfortní práci se soubory pravidel. Soubory pravidel jsou velmi složité na pochopení pro začínající uživatele. Vizualizace, validace značně zvyšuje uživatelský komfort ovládání tohoto nástroje.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Cílem práce bylo vytvořit nástroj s grafickým uživatelským rozhraním pro manipulaci pravidel používaných v nástrojích hashcat, John the Ripper a FITCrack. Tento nástroj měl být integrován se systémem FITCrack. Student nástroj implementoval přímo jako součást systému FITCrack. | ||
| Rozsah splnění požadavků zadání | |||
| Rozsah technické zprávy | Práce je o rozsahu 63.54 dle https://app.fit.vut.cz/normostrany . | ||
| Prezentační úroveň technické zprávy | 80 | Práce je psána v českém jazyce. Úvod práce uvádí čtenáře do problematiky obnovy hesel a obsahuje přehled existujících nástrojů, útoků a použitých metod. Kapitoly popisující návrh, implementaci a experimenty jsou až příliš detailní a pro čtenáře je složité udržet pozornost. Osobně bych ocenil větší důraz autora na popis doménové problematiky jako je tvorba hesel a jak může vhodné generování pravidel pomoci urychlit obnovu hesel. | |
| Formální úprava technické zprávy | 75 | Jazyk práce je příliš popisný, autor často používá složitá souvětí a místy se také dopouští použití hovorových výrazů či nespisovné konjugace. Příklady takových prohřešků: "Jelikož se ale" sekce 2.3, nepoužití "českých" uvozovek sekce 2.3.1, hovorová konjugace "popíšu" sekce 3.3. | |
| Práce s literaturou | 85 | Práce obsahuje reference k 19 zdrojům, mezi kterými je dostatečný počet publikací v kvalitních recenzovaných periodicích. Použití online zdrojů je v práci tohoto zaměření očekávané a zcela v pořádku. Vytknul bych však v přehledu literatury: u zdroje 2 není třeba uvádět odkaz, u zdrojů 3 a 4 chybějící označení technických zpráv, u zdrojů 12 a 14 bych uvítal standardizované označení DOI či ISSN. | |
| Realizační výstup | 85 | Realizovaný programový výstup je implementován přímo v prostředí systému FITCrack a nejedná se o samostatný nástroj, který by byl následně integrován do systému FITCrack, jak značí bod 3 zadání. Autor provedl nad rámec zadání uživatelské testování, analyzoval získanou zpětnou vazbu, ale nepromítl ji do realizačního výstupu. Autor v práci slibuje pokračování a spolupráci s vývojovým týmem FITCrack, ale v době psaní tohoto posudku zatím není vytvořen pull request do repositáře projektu. | |
| Využitelnost výsledků | V případě začlenění výstupu této práce do produkční verze systému FITCrack bude možné přívětivým způsobem pracovat se soubory pravidel, což zvýší uživatelský komfort. |
eVSKP id 147183