1. #1
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2011
    Messages
    6 832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 6 832
    Points : 18 219
    Points
    18 219

    Par défaut Défi : Notez le générateur de mots de passe de xurei

    Bonjour,

    La rubrique sécurité vous propose de noter le générateur de mot de passe de xurei dans le cadre de ce défi.

    N'oubliez pas que notre partenaire livre, les éditions ENI, offrira aux trois meilleures participations un livre intitulé Ethical Hacking, dont vous pouvez consulter les retours par nos membres.

    Participation :

    • Auteur : xurei
    • Type de projet : Web
    • Tester : lien
    • Sources : lien
    • Description :

    Citation Envoyé par xurei
    Voici ma (tardive) contribution : http://www.xurei-design.be/upg/.

    Codé en HTML/CSS/JS. Le fichier index est un php mais fonctionne très bien s'il est renommé en html. L'ensemble est utilisable sur n'importe quel serveur Apache sans aucune modification.

    Code source : https://github.com/xurei/upg

    Le but de ce projet est de proposer une alternative au mot de passe "traditionnel", en le rendant plus facile à retenir tout en restant robuste. Il y a une perte d'entropie si l'on rejette des password trop "compliqués" à mémoriser, ce que j'essaye de prendre en compte lors du test de robustesse.

    Pour l'instant, il y a deux modes : classique et prononçable. Le mode prononçable tente de créer des mots de passe plus faciles à prononcer et donc a retenir.

    Je travaille sur un troisième mode, inspiré du strip de xkcd Password Strength. Il sera disponible pour le 1er mars.

    Niveau sécurité, la robustesse du password est testée en brute force direct, en crack MD5 et SHA-1. D'autres testes peuvent être ajoutés facilement et le seront sans doute).
    On dit "chiffrer" pas "crypter" !

    On dit "bibliothèque" pas "librairie" !

    Ma page DVP : http://neckara.developpez.com/

  2. #2
    Membre habitué

    Profil pro
    Inscrit en
    janvier 2003
    Messages
    65
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2003
    Messages : 65
    Points : 139
    Points
    139

    Par défaut

    Note globale 14.6 / 20

    J'essaye d’être le plus objectif possible, mais ayant soumis moi même soumis une proposition à ce concours c'est relativement délicat pour moi de noter. N’hésitez pas a revenir vers moi ou a censurer si mes notations semblent abusives.


    fonctionnalités : 3.0 points

    • Les fonctions demandées sont à peu près présentes
    • Original et bons points: La génération de mots de passe mémorisables façon xkcd et par morphème
    • Original et bons point: Le lien vers un test de crackage md5 par rainbow table... Dommage que ce soit uniquement un lien, mais c'est une excellente idée.
    • Mauvais point: On ne peut pas tester un mot de passe autre que celui généré
    • Dommage: Le test de fiabilité ne donne pas d'indication notée (mis a part le time to crack qui selon moi ne veut presque rien dire... les rainbow tables étant le standard)
    • Dommage: Pas de recherche avec dictionnaire
    • Dommage: nécessite un navigateur et un serveur WEB PHP (pourtant inutile)... Pourquoi un index.php alors que tout est HTML + Javascript?
    • Dommage: pas d'API définie


    qualité du code : 3.2 points

    • Code lisible et facilement compréhensible
    • Bon point: quelqu'un qui gère son code avec un gestionnaire de version (Git en l’occurrence)!
    • Dommage: Pas de tests unitaires


    commentaire et documentation : 1.8 points

    • Très peu de commentaires dans le code
    • La description sur le forum et sur la page est trop laconique, et c'est la seule doc.
    • Pas de documentation des fonctions dans le code (style JsDoc)
    • Pas de Readme.md (le minimum sur GitHub).
    • Pas de de licence (le deuxième minimum sur GitHub)


    sécurité de l'application : 3.1 points

    • Il faut un serveur Web + PHP à sécuriser et maintenir avec les bons patchs... Pourtant inutile puisqu'il n'y a pas de code PHP (je ne pénalise pas trop).


    design et inventivité de l'interface : 3.5 points

    • L'interface est claire, élégante, et originale, vraiment très bon!
    • Dommage: Pas d'information sur comment construire un bon mot de passe, ni de note indiquant si c'est bon ou mauvais


    autres commentaires

    Je n'ai pas pénalisé mais près de 1MB à télécharger pour utilise l'outil (830KB de words.txt), c'est trop lourd pour du web. J'ai déjà des scrupules avec mes 180KB de mon outil (que je cherche encore à réduire sans sacrifier en fonctions). Le chargement du fichier words.txt de façon asynchrone est toutefois élégant et compense ce défaut.
    A noter qu'il existe encore des connexions bas débit pour lesquelles récupérer 1MB prendra plusieurs minutes dans le meilleur des cas.

    Je n'ai pas mis de bonus non plus mais j'apprécie le test de version de navigateur.

Discussions similaires

  1. Réponses: 6
    Dernier message: 06/04/2014, 17h58
  2. Réponses: 4
    Dernier message: 15/03/2014, 22h16
  3. Réponses: 1
    Dernier message: 13/03/2014, 23h04
  4. Réponses: 1
    Dernier message: 13/03/2014, 22h43
  5. Défi : Notez le générateur de mot de passe de Adrael66
    Par Neckara dans le forum Sécurité
    Réponses: 1
    Dernier message: 05/03/2014, 14h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo