Discussion :

[Neckara]

Bonjour,

La rubrique sécurité vous propose de noter le générateur de mot de passe delemoussel dans le cadre de ce défi.

N'oubliez pas que notre partenaire livre, les éditions ENI, offrira aux trois meilleures participations un livre intitulé Ethical Hacking, dont vous pouvez consulter les retours par nos membres.

Participation :

• Auteur : lemoussel
• Type de projet : Applicatif
• Sources : lien1 lien2
• Description :

Voici ma participation avec un outil développé en C# : Password Strength Meter.
Cet outil permet de générer un mot de passe personnalisable en choisissant d'utiliser soit des chiffres, des lettres majuscules ou minuscules et même des symboles. Il permet aussi de mesurer la robustesse du mot de passe généré aléatoirement ou saisi par l’utilisateur.

Suivant les options sélectionnées la longueur du mot de passe varie de la valeur minimum de 8 caractères à la valeur maximum de 20 caractères.

Voici un exemple de paramétrage pour calcul un mot de Passe avec 3 Lettres majuscules, 4 Lettres minuscules, 2 Nombres et 3 Symboles.
Soit un mot de passe d’une longueur de 12 caractères. Le résultat obtenu étant le mot de passe : $\mNn]3MsB2%

Concernant le calcul du score de robustesse, je me suis quelque peu inspiré du principe exposé sur le site Yet Another Password Meter. Cependant j’ai opté pour des règles de calcul de détermination de la robustesse du mot de passe différentes. Ce calcul de robustesse n’est pas parfait, ni infaillible. Il a cependant l’avantage de montrer visuellement comment améliorer le mot de passe afin qu’il soit le plus difficilement possible « crackable ».

Les règles sont soit du type « Bonus » , c'est-à-dire qu’elle augmente la valeur de la robustesse, soit du type « Malus » diminuant la valeur de la robustesse.
La valeur maximum de cette robustesse étant 100 et le minimum étant 0.
Deux paramètres peuvent entrer en compte dans le calcul d’une règle. Le paramètre len correspondant à la longueur du mot de passe et le paramètre n correspondant au nombre de caractères trouvés correspondant à la règle.

Voici en exemple le résultat du calcul de robustesse sur le mot de passe : $\mNn]3MsB2%

Pour réaliser cet outil j’ai développé les 2 classes suivantes :

• PasswordGenerator: Génération aléatoire d’un mot de passe.
• PasswordStrengthMeter: Calcul de la robustesse d’un mot de passe.

La classe PasswordGenerator est assez simple. Elle expose juste la méthode Generate(...) permettant de créer un nouveau mot de passe.

La classe PasswordStrengthMeter expose les propriétés suivantes :

• Password : Spécifie le mot de passe pour lequel le calcul de robustesse sera effectué.
• Score : Valeur de la robustesse entre 0 et 100.
• Bonus : Valeur du bonus de la robustesse.
• Malus : Valeur du malus de la robustesse.
• Text : Description au format texte de la robustesse.

J'ai posté les sources des 2 classes.
- C# : Génération aléatoire d'un mot de passe.
- C# : Calcul de la robustesse d'un mot de passe


Pour les personnes qui seraient intéressées par cet outil, je prépare une installation Windows que je mettrais à disposition en téléchargement sur mon site.

[El-Cherubin]

Tombé par hasard sur le sujet à la recherche d'un outil pour générer du password, j'ai plutôt bien apprécier son outil, donc mes notes :

fonctionnalités : 4 points ;
Il fait exactement ce dont j'avais besoin
qualité du code : 4 points ;
Je ne suis pas suffisament apte à juger mais à première vu c'était assez quali
commentaire et documentation : 3 points ;
Un peu plus de détail et ça aurait été parfait
sécurité de l'application : 4 points ;
RAS.
design et inventivité de l'interface : 4 points.
Je suis fan de la simplicité, donc nickel.

19 points

[lassomontana]

Bonjour à tous, je suis à la recherche d'un générateur de password qui soit robuste et je vois que vous organisez un concours pour un futur outil en ligne, c'est ça ?
Bon alors je vais jouer le jeu vu que je vais m'en servir par la suite ;-)

fonctionnalités du générateur : 4 pts > il fait déjà plus que ce que j'ai besoin

qualité du code :3 pts > difficile pour moi d'évaluer, n'étant pas expert, mais si je me fie à mes modestes connaissances, on est plutôt propre donc 3 pts

Commentaires et documentation 4 pts : là dessus rien à dire

Sécurité de l'outil 2 pts > rien n'est jamais assez sécurisé !

Design 4pts > sans doute ce qui m'a plus marqué sur ce projet, vraiment sympa avec la mise en forme des bonus et tous les détails.

Total : 17 pts pour Lemoussel

Lemoussel si tu mets l'outil en dl sur ton site, pourras tu me faire passer l'adresse stp ?

je file je vais aller voir les autres projets du concours ;-)

[lemoussel]

Merci de ta notation.
Tout a fait ! A la fin du concours je mettrais à disposition ce générateur de mot de passe en téléchargement gratuit sur un site dont je communiquerais l'Url.

[iolco51]

J'essaye d’être le plus objectif possible, mais ayant soumis moi même soumis une proposition à ce concours c'est relativement délicat pour moi de noter. N’hésitez pas a revenir vers moi si mes notations semblent abusives.
Je suis content de ne pas être le seul a noter les applications, merci lassomontana !

Au final j'aurai passé plus de temps à regarder les outils des autres et à les noter (ce qui est difficile) qu'à réaliser mon code

Je suis désolé si ma note parait dure ici comparé à Lassomontana... Mais il y a pour moi deux défauts rédhibitoires: pas de logiciel, pas de code pour l'UI. Ces défauts m’empêchent de mettre plus que 10... Dites moi SVP si j'ai raté quelque chose et je reverrai ma note en fonction.

Note globale : 10.2/20

fonctionnalités : 2 points

• Les fonctions demandées sont à priori présentes
• Bon point pour le test pondéré
• Mauvais point: On peut tester un mot de passe non généré (en tout cas le champs est grisé)
• Dommage: Pas de recherche dictionnaire ni de génération de mot de passe plus facile a mémoriser
• Dommage: très faible portabilité, compatible Windows uniquement...
• Dommage: impossible de tester / exécuter

qualité du code : 2 points

• Le code des classes generation/test est de bonne facture, je ne suis pas expert C# mais cela semble clair et correct
• Dommage: Le code de l'UI est inexistant, je dois retirer un point sur quatre puisque l'UI correspond à (au moins) 1/4 du travail demandé
• Dommage: le code est place sur le forum, ce qui laisse supposer qu'il n'y a pas de gestion de configuration. Github/sourceforge/...etc. est gratuit pourquoi se priver?

Note: Je ne pénalise pas, pourtant il semble qu'une grosse partie provienne du code sous copyright suivant: http://www.obviex.com/samples/Password.aspx, la moindre des choses aurait été de mieux créditer l'origine, reproduire le copyright, et demander l'autorisation d'utilisation a l'auteur (ce qui a peut-être été fait mais n;est pas mentionné)

commentaire et documentation : 2 points

• Le code semble bien commenté (peux pas dire pour celui l'UI mais ce n'est pas important)
• Dommage: Pas de documentation autre que les quelques ligne de description
• Dommage: Pas d'information de licence du code

sécurité de l'application : 3.2 points

• Nécessite un Windows et .NET à jour
• Fonctionne en local donc peu de risque de sécurité

design et inventivité de l'interface : 1 points

• Bon point: un rendu graphique qui permet de savoir ce qu'il faut améliorer pour un mot de passe plus fort.
• Les screenshots sont jolis, essayons...
• Zut, il n'y a pas de programme? Pas même le code source, donc on ne peut pas se le compiler pour essayer.... Je ne sais pas comment noter.

Il est difficile de noter du vide, on ne peut pas essayer l'interface. Les screenshots laissent pourtant supposer qu'elle existe... Ai-je raté quelque chose?

J'ai un problème avec cette candidature, impossible d'avoir l'application, le code de l'UI N'est pas fourni, et les binaires non plus... Je ne sais pas comment noter cela, ce qui est sur c'est que c'est dommage car j'ai du pénaliser l'UI car elle n'existe pas (sauf des screenshots, mais difficile d'intéragir avec un screenshot).

[lemoussel]

.....

Note: Je ne pénalise pas, pourtant il semble qu'une grosse partie provienne du code sous copyright suivant: http://www.obviex.com/samples/Password.aspx, la moindre des choses aurait été de mieux créditer l'origine, reproduire le copyright, et demander l'autorisation d'utilisation a l'auteur (ce qui a peut-être été fait mais n;est pas mentionné)

Dommage: très faible portabilité, compatible Windows uniquement...

.....
Dommage: Le code de l'UI est inexistant, je dois retirer un point sur quatre puisque l'UI correspond à (au moins) 1/4 du travail demandé
Dommage: le code est place sur le forum, ce qui laisse supposer qu'il n'y a pas de gestion de configuration. Github/sourceforge/...etc. est gratuit pourquoi se priver?
....

Il est difficile de noter du vide, on ne peut pas essayer l'interface. Les screenshots laissent pourtant supposer qu'elle existe... Ai-je raté quelque chose?

J'ai un problème avec cette candidature, impossible d'avoir l'application, le code de l'UI N'est pas fourni, et les binaires non plus... Je ne sais pas comment noter cela, ce qui est sur c'est que c'est dommage car j'ai du pénaliser l'UI car elle n'existe pas (sauf des screenshots, mais difficile d'intéragir avec un screenshot).

Je te remercie de ta notation très objective.

Tout d'abord concernant ta note, je n'ai pas utilisé le code sous copyright que tu cite. Sinon crois moi, j'aurais bien entendu indiqué l'auteur. C'est pour cette simple raison que je n'ai rien mentionné.

Je ne suis pas d'accord avec ta remarque sur la portabilité indiquant que compatible Windows uniquement. En effet avec Mono il est tout a fait possible de compiler/exécuter du code .NET (C#) sur des systèmes Linux.

Je n'avais pas compris qu'il fallait mettre à disposition l'outil et personne ne me l'a demandée. Sinon, bien sur j'aurais mis à disposition l'EXE. Si vous le souhaitez je peut mettre cet outil en téléchargement libre.

Je n'ai pas pensé que le code source de l'UI était intéressant pour cet exercice. C'est pour cela que je n'ai mis que le code source "important".
Je n'ai absolument pas pensé qu'il fallait prévoir une gestion de configuration. Si tel est le cas aucun soucis pour mettre à disposition sur GitHub.

[iolco51]

Bonjour et merci pour ta réponse.
J'essaie d’être objectif, mais comme toujours une évaluation est subjective.

• Copyright: Mille excuses pour le code sous copyright... Honnêtement je n'ai pas regarde dans les détails, comme il y a une référence vers ce site dans ton code et la première partie est structurellement identique... Je pensais que tu en avais repris une partie. Je n'ai pas eu le temps de regarder le contenu et n'ai de toutes façons pas pénalisé la note.
• Mono: Je suis un gros utilisateur de Linux depuis maintenant deux ans, et malgré tout je trouve que Mono a toujours plusieurs versions de retard sur .NET et son implémentation est incomplète. Résultat Wine marche bien mieux que Mono (même si ce n'est pas comparable), et malgré tout le bien que j'en pense je ne crois plus du tout en Mono.
• Binaire et UI: Il est difficile de tester un outil sans y avoir accès, et de jauger un code source sans pouvoir le lire...
• Quand a la gestion de conf, j'ai tendance a considérer cela comme le minimum syndical du développeur (avant les tests et le code qualité), mais comme je le précise, c'est une évaluation nécessairement subjective.
• Les autres notes ont prouve que des éléments importants pour moi (gestion de conf, doc, tests, information de licence) ne le sont pas pour d'autres.

Avant tout le reste, pour moi ce qui a vraiment pénalisé la note sont: l’absence de logiciel et d'UI (pas de logiciel ni même le code pour l'UI alors que l'on doit donner une note dessus), et l'absence de possibilité de tester un mot de passe autre que celui généré.