5 pontos por GN⁺ 2024-03-25 | 1 comentários | Compartilhar no WhatsApp
  • Aplicação de Material 3 e Material You, com mudanças no design da interface do app
  • Adicionado o recurso de atribuição automática de ícones aos itens e a opção de selecionar todos os itens de uma vez
  • Suporte à importação de backups no schema v4 do 2FAS
  • Adicionado o recurso de ordenar itens com base no horário do último uso
  • Melhoria de desempenho ao rolar listas de itens com muitos ícones
  • Corrigido um problema de falha na importação direta do Authy usando root
  • Corrigidos pequenos problemas de exibição relacionados à configuração da escala de duração das animações, além de várias melhorias de estabilidade

1 comentários

 
GN⁺ 2024-03-25
Comentários do Hacker News
  • Gosto muito do Aegis e o considero um dos apps mais importantes do meu celular
    Se você usa Aegis no Android e uma distribuição Linux baseada em GNOME, recomendo fortemente usar junto o Gnome Authenticator
    flatpak install flathub com.belmoussaoui.Authenticator
    O Gnome Authenticator ainda está no começo, então tem alguns bugs e, se você tiver muitos tokens, os problemas são mais de desempenho, mas ele consegue importar e exportar o formato do Aegis e alguns outros formatos
    É muito prático ter as seeds no celular, no notebook e no desktop
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    Espero que algum dia o Gnome Authenticator seja distribuído como parte do GNOME, mas ainda não é o caso
    Também é muito fácil compilar e executar a partir do código-fonte com o Gnome Builder. Basta abrir o Builder, clonar o código do GitLab e apertar o botão “Build”, e ele cuida do resto
    https://wiki.gnome.org/Newcomers/BuildProject

    • Não tenho a menor intenção de instalar um app autenticador via Flatpak
    • No iOS, a ferramenta que eu uso, OTP auth, também faz a mesma coisa. Dá para sincronizar com o iCloud e usar no macOS, já que fica criptografado em texto cifrado
      Mas até agora resisti à tentação dessa conveniência, e também evitei colocar seeds TOTP no Bitwarden ou no 1Password. Porque algo que claramente era 2 fatores, talvez até 3, passa a parecer mais com 2 ou às vezes 1 fator
    • Eu estava procurando uma alternativa porque o Authy vai encerrar a versão desktop, e essa combinação parece uma boa opção
      Eu gosto de configurações esquisitas, então provavelmente vou testar Gnome Authenticator rodando sobre WSL2
    • Basta usar um banco de dados KeePass e você não fica preso a um sistema operacional específico. Use KeePassXC, Keepass2Android etc. e sincronize do jeito que quiser
    • Queria entender por que não usar KeePass
  • Bitwarden e KeePassXC também oferecem autenticação de dois fatores gratuita, segura e de código aberto, além do gerenciamento de senhas
    Eu gerencio isso guardando a chave secreta TOTP separada da senha, em outro cofre. Não entendo muito bem por que precisaria usar outra coisa; gostaria que alguém explicasse

    • Fazendo isso, a autenticação de dois fatores vira um fator. Porque deixa de existir um fator de posse
    • A maior desvantagem de usar TOTP de 2FA no Bitwarden é que você só pode adicionar um TOTP por senha
      No trabalho, usamos Active Directory para acessar vários sites com a mesma conta, mas cada site tem um TOTP diferente. No Bitwarden, só dá para salvar um, então os demais preciso colocar em um app autenticador comum. Não quero criar contas duplicadas no Bitwarden só por causa do TOTP
    • 2FA do Bitwarden não é grátis
  • Sou desenvolvedor há muito tempo, mas sou mais uma pessoa “comum” do que o tipo de desenvolvedor que comenta nesse tipo de post. Sinceramente, isso tudo é muito, muito, muito confuso
    Eu detesto lidar com essas coisas e não faria isso por vontade própria, pelo mesmo motivo que não uso PGP no e-mail. Simplesmente uso o Gmail web como uma pessoa normal
    Mesmo assim, em dois serviços eu fui obrigado a usar autenticação de dois fatores e configurei o Google Authenticator no meu celular Android. As instruções de onboarding dos dois serviços eram péssimas, mas no fim funcionou, e agora entro meio a contragosto desse jeito
    Ao ler este post, de repente me bateu a dúvida: se eu perder o celular, também perco o acesso a esses serviços importantes? Pelo menos, ao olhar o app Authenticator, fiquei um pouco mais tranquilo ao ver o ícone de nuvem verde dizendo “os códigos estão sendo salvos na conta Google”
    A segurança online está cada vez mais importante, mas isso é um pântano completo, e até quem entende de todos os cantos obscuros do mundo da tecnologia pode não compreender direito esse assunto. Só acho que a maioria não admite isso como eu admito
    Uma pessoa realmente comum, como a minha esposa, quase não tem chance de entender os detalhes e encontrar o caminho até as melhores práticas. Espero que Google ou Apple não desistam disso nem se tornem completamente malignas
    Pretendo verificar se meus dois serviços oferecem códigos de recuperação. Eu me sinto capaz de administrar combinações importantes de usuário/senha junto com códigos de recuperação, e esse é mais ou menos o nível de complexidade com o qual consigo lidar nessa área

    • No meu modelo pessoal de ameaça, a maioria dos fluxos de autenticação de dois fatores na verdade reduz minha segurança
      Historicamente, sempre foi mais provável eu perder o celular do que minhas credenciais serem comprometidas, e o dano causado pela perda de acesso e negação de serviço é mais grave do que o prejuízo para mim e para a empresa que mantém a conta em caso de vazamento de credenciais
      Em algumas contas de empregador ou banco isso se inverte, mas eu não conecto meus dispositivos pessoais a contas do empregador de jeito nenhum
      É uma pena que o setor trate segurança como um eixo único, em que algo é apenas mais ou menos seguro. Em contas pessoais, ficar sem acesso muitas vezes é mais grave e mais comum do que ter a conta invadida. Em alguns casos, a autenticação de dois fatores reduz minha segurança
    • O estado atual da tecnologia parece realmente assustador. Essa autenticação de dois fatores parece um milagre. É gratuita e independente das big techs
      Vejo isso como algo tão importante quanto um produto da Mozilla. Daqui para frente, por causa da segurança, haverá mais aplicativos de prova de individualidade
      Mas os códigos de recuperação provavelmente não vão desaparecer tão cedo. Claro, isso pode mudar se desenvolvedores assistidos por IA ganharem memória de longo prazo nos próximos anos
    • A questão é se, quando você perder o celular, ainda conseguirá acessar a conta Google. Essa conta não é sua, é do Google
    • Foi exatamente por isso que comecei a usar o Aegis e confio muito nele. Por causa do recurso de backup
      Faço backups criptografados em dois lugares diferentes, então mesmo que meu celular exploda, consigo continuar usando a autenticação de dois fatores nos meus próprios termos
  • Mais alguém aqui passou pela situação idiota de a organização não deixar você ter sua própria ferramenta geradora de tokens e forçar o uso de algo como o Duo?
    Só tenho um caso assim e já é frustrante. Parece que daria para contornar com algo como um Android com root, mas não tive muito tempo para pesquisar ou brigar por isso

    • O Duo permite usar chaves físicas de segurança. Eu guardo isso no Bitwarden como passkey
      Não é uma substituição completa, mas para mim já basta. O Bitwarden também pode ser hospedado por conta própria
      [0] Vaultwarden
    • Em um aparelho com root, o Aegis consegue puxar de boa o segredo do Duo
    • TOTP é inerentemente menos seguro do que essas soluções proprietárias
      Por exemplo, porque não dá para controlar onde as pessoas armazenam isso nem se fazem backup. Então até entendo em certa medida por que as empresas preferem esse tipo de solução
  • Acho que o Aegis realmente deveria ser mais conhecido. Instalei em um celular antigo que não tinha espaço para instalar o Google Authenticator, e o app me agradou bastante
    Também é um ótimo bônus o fato de ser um projeto comunitário

    • Isso é mais do que um bônus. Só projetos desse tipo me passam confiança de que amanhã, depois de amanhã ou daqui a um ano não vão destruir completamente a experiência do usuário por causa de incentivo de lucro ou de um IPO planejado, tentando extrair o máximo de dinheiro possível
  • O Aegis é bom e agradável de usar
    Espero que outros lugares não sigam essa tendência de criar seu próprio app autenticador, dizer que outros apps não são seguros e bloquear o uso de autenticadores como o Aegis, como faz o Microsoft Authenticator

  • Fico curioso sobre como são os backups
    Dá para criar backups criptografados quando necessário, protegidos por uma senha definida pelo usuário? Existe algum app de desktop que consiga abrir ou ler esse backup, ou dá para ler com algo como o SQLite DB Browser? Dá para configurar para salvar uma cópia criptografada em algum lugar como o Dropbox sempre que houver mudanças?
    Também queria saber se o recomendado é instalar pela Play Store ou se o APK do GitHub é melhor

    • Eu uso o Aegis como app principal para autenticação em duas etapas, então posso responder
      Dá para fazer backups criptografados sob demanda, protegidos por senha
      Depois de descriptografado, é só JSON comum, então sempre dá para ler. O app do GNOME Circle “Authenticator”, que eu uso no desktop, consegue importar backups do Aegis nativamente. Dos outros apps, não sei muito
      Pela página de configurações, parece haver recursos relacionados a backup automático e backup em nuvem, mas nunca usei pessoalmente
      Se você usar o APK do GitHub, perde as atualizações automáticas. Eu uso o F-Droid
  • É muito bom ver cada vez mais apps adotando Material 3/You
    O design de UI da Apple nunca foi muito a minha praia, mas, comparado à UI toda inconsistente do Android, eu gosto da consistência de design da maioria dos apps de iOS

    • Eu escolheria a experiência de UI mais variada do Android em vez da experiência mais polida, porém fortemente engessada, do iOS em qualquer dia
      Dito isso, minha principal reclamação com o design de apps Android parece ser que muitos apps são implementações ruins do antigo Material UI, montadas às pressas em algum editor drag-and-drop como o sistema de widgets do Android Studio
      Esse é o resultado quando você incentiva qualquer um a criar qualquer coisa e lucrar com coleta de dados e anúncios, sem a tirania corporativa ao estilo Apple. É por isso que os apps em repositórios livres e de código aberto como o F-Droid, mesmo com uma UI/UX igualmente variada, no geral acabam sendo muito mais limpos e agradáveis de usar
  • Uso o Aegis há anos e ainda não encontrei nada de que eu não goste. É um app perfeitamente funcional, e estou ansioso para experimentar a nova atualização

    • Foi por isso que fiquei um pouco assustado ao ler o título. Pelas capturas de tela, parece que vai ficar tudo bem
      Recentemente passei por dois apps de código aberto que fizeram a UI/UX ficar muito pior com grandes atualizações. Claro, algumas pessoas podem até ter gostado das mudanças, mas um deles foi o mensageiro XMPP para desktop Gajim e o outro foi o app móvel de guia de respiração Breathly
    • Concordo totalmente. É quase o único app que já usei que eu diria ser sem defeitos
  • Atualmente estou usando o 2FAS com satisfação, mas fiquei curioso sobre como ele se compara ao Aegis
    Dei uma olhada rápida e parece que o Aegis não oferece suporte a vários dispositivos e também não pode ser usado no desktop
    https://2fas.com/

    • Seria bom se adicionassem um app de desktop. Passo mais tempo em frente a essa tela do que no celular
      E eu também não sou o tipo de pessoa que está sempre com o celular no corpo