Aegis v3.0, app 2FA gratuito, seguro e de código aberto para Android
(github.com/beemdevelopment)- Aplicação de Material 3 e Material You, com mudanças no design da interface do app
- Adicionado o recurso de atribuição automática de ícones aos itens e a opção de selecionar todos os itens de uma vez
- Suporte à importação de backups no schema v4 do 2FAS
- Adicionado o recurso de ordenar itens com base no horário do último uso
- Melhoria de desempenho ao rolar listas de itens com muitos ícones
- Corrigido um problema de falha na importação direta do Authy usando root
- Corrigidos pequenos problemas de exibição relacionados à configuração da escala de duração das animações, além de várias melhorias de estabilidade
1 comentários
Comentários do Hacker News
Gosto muito do Aegis e o considero um dos apps mais importantes do meu celular
Se você usa Aegis no Android e uma distribuição Linux baseada em GNOME, recomendo fortemente usar junto o Gnome Authenticator
flatpak install flathub com.belmoussaoui.AuthenticatorO Gnome Authenticator ainda está no começo, então tem alguns bugs e, se você tiver muitos tokens, os problemas são mais de desempenho, mas ele consegue importar e exportar o formato do Aegis e alguns outros formatos
É muito prático ter as seeds no celular, no notebook e no desktop
https://gitlab.gnome.org/World/Authenticator
https://flathub.org/apps/com.belmoussaoui.Authenticator
Espero que algum dia o Gnome Authenticator seja distribuído como parte do GNOME, mas ainda não é o caso
Também é muito fácil compilar e executar a partir do código-fonte com o Gnome Builder. Basta abrir o Builder, clonar o código do GitLab e apertar o botão “Build”, e ele cuida do resto
https://wiki.gnome.org/Newcomers/BuildProject
Mas até agora resisti à tentação dessa conveniência, e também evitei colocar seeds TOTP no Bitwarden ou no 1Password. Porque algo que claramente era 2 fatores, talvez até 3, passa a parecer mais com 2 ou às vezes 1 fator
Eu gosto de configurações esquisitas, então provavelmente vou testar Gnome Authenticator rodando sobre WSL2
Bitwarden e KeePassXC também oferecem autenticação de dois fatores gratuita, segura e de código aberto, além do gerenciamento de senhas
Eu gerencio isso guardando a chave secreta TOTP separada da senha, em outro cofre. Não entendo muito bem por que precisaria usar outra coisa; gostaria que alguém explicasse
No trabalho, usamos Active Directory para acessar vários sites com a mesma conta, mas cada site tem um TOTP diferente. No Bitwarden, só dá para salvar um, então os demais preciso colocar em um app autenticador comum. Não quero criar contas duplicadas no Bitwarden só por causa do TOTP
Sou desenvolvedor há muito tempo, mas sou mais uma pessoa “comum” do que o tipo de desenvolvedor que comenta nesse tipo de post. Sinceramente, isso tudo é muito, muito, muito confuso
Eu detesto lidar com essas coisas e não faria isso por vontade própria, pelo mesmo motivo que não uso PGP no e-mail. Simplesmente uso o Gmail web como uma pessoa normal
Mesmo assim, em dois serviços eu fui obrigado a usar autenticação de dois fatores e configurei o Google Authenticator no meu celular Android. As instruções de onboarding dos dois serviços eram péssimas, mas no fim funcionou, e agora entro meio a contragosto desse jeito
Ao ler este post, de repente me bateu a dúvida: se eu perder o celular, também perco o acesso a esses serviços importantes? Pelo menos, ao olhar o app Authenticator, fiquei um pouco mais tranquilo ao ver o ícone de nuvem verde dizendo “os códigos estão sendo salvos na conta Google”
A segurança online está cada vez mais importante, mas isso é um pântano completo, e até quem entende de todos os cantos obscuros do mundo da tecnologia pode não compreender direito esse assunto. Só acho que a maioria não admite isso como eu admito
Uma pessoa realmente comum, como a minha esposa, quase não tem chance de entender os detalhes e encontrar o caminho até as melhores práticas. Espero que Google ou Apple não desistam disso nem se tornem completamente malignas
Pretendo verificar se meus dois serviços oferecem códigos de recuperação. Eu me sinto capaz de administrar combinações importantes de usuário/senha junto com códigos de recuperação, e esse é mais ou menos o nível de complexidade com o qual consigo lidar nessa área
Historicamente, sempre foi mais provável eu perder o celular do que minhas credenciais serem comprometidas, e o dano causado pela perda de acesso e negação de serviço é mais grave do que o prejuízo para mim e para a empresa que mantém a conta em caso de vazamento de credenciais
Em algumas contas de empregador ou banco isso se inverte, mas eu não conecto meus dispositivos pessoais a contas do empregador de jeito nenhum
É uma pena que o setor trate segurança como um eixo único, em que algo é apenas mais ou menos seguro. Em contas pessoais, ficar sem acesso muitas vezes é mais grave e mais comum do que ter a conta invadida. Em alguns casos, a autenticação de dois fatores reduz minha segurança
Vejo isso como algo tão importante quanto um produto da Mozilla. Daqui para frente, por causa da segurança, haverá mais aplicativos de prova de individualidade
Mas os códigos de recuperação provavelmente não vão desaparecer tão cedo. Claro, isso pode mudar se desenvolvedores assistidos por IA ganharem memória de longo prazo nos próximos anos
Faço backups criptografados em dois lugares diferentes, então mesmo que meu celular exploda, consigo continuar usando a autenticação de dois fatores nos meus próprios termos
Mais alguém aqui passou pela situação idiota de a organização não deixar você ter sua própria ferramenta geradora de tokens e forçar o uso de algo como o Duo?
Só tenho um caso assim e já é frustrante. Parece que daria para contornar com algo como um Android com root, mas não tive muito tempo para pesquisar ou brigar por isso
Não é uma substituição completa, mas para mim já basta. O Bitwarden também pode ser hospedado por conta própria
[0] Vaultwarden
Por exemplo, porque não dá para controlar onde as pessoas armazenam isso nem se fazem backup. Então até entendo em certa medida por que as empresas preferem esse tipo de solução
Acho que o Aegis realmente deveria ser mais conhecido. Instalei em um celular antigo que não tinha espaço para instalar o Google Authenticator, e o app me agradou bastante
Também é um ótimo bônus o fato de ser um projeto comunitário
O Aegis é bom e agradável de usar
Espero que outros lugares não sigam essa tendência de criar seu próprio app autenticador, dizer que outros apps não são seguros e bloquear o uso de autenticadores como o Aegis, como faz o Microsoft Authenticator
Fico curioso sobre como são os backups
Dá para criar backups criptografados quando necessário, protegidos por uma senha definida pelo usuário? Existe algum app de desktop que consiga abrir ou ler esse backup, ou dá para ler com algo como o SQLite DB Browser? Dá para configurar para salvar uma cópia criptografada em algum lugar como o Dropbox sempre que houver mudanças?
Também queria saber se o recomendado é instalar pela Play Store ou se o APK do GitHub é melhor
Dá para fazer backups criptografados sob demanda, protegidos por senha
Depois de descriptografado, é só JSON comum, então sempre dá para ler. O app do GNOME Circle “Authenticator”, que eu uso no desktop, consegue importar backups do Aegis nativamente. Dos outros apps, não sei muito
Pela página de configurações, parece haver recursos relacionados a backup automático e backup em nuvem, mas nunca usei pessoalmente
Se você usar o APK do GitHub, perde as atualizações automáticas. Eu uso o F-Droid
É muito bom ver cada vez mais apps adotando Material 3/You
O design de UI da Apple nunca foi muito a minha praia, mas, comparado à UI toda inconsistente do Android, eu gosto da consistência de design da maioria dos apps de iOS
Dito isso, minha principal reclamação com o design de apps Android parece ser que muitos apps são implementações ruins do antigo Material UI, montadas às pressas em algum editor drag-and-drop como o sistema de widgets do Android Studio
Esse é o resultado quando você incentiva qualquer um a criar qualquer coisa e lucrar com coleta de dados e anúncios, sem a tirania corporativa ao estilo Apple. É por isso que os apps em repositórios livres e de código aberto como o F-Droid, mesmo com uma UI/UX igualmente variada, no geral acabam sendo muito mais limpos e agradáveis de usar
Uso o Aegis há anos e ainda não encontrei nada de que eu não goste. É um app perfeitamente funcional, e estou ansioso para experimentar a nova atualização
Recentemente passei por dois apps de código aberto que fizeram a UI/UX ficar muito pior com grandes atualizações. Claro, algumas pessoas podem até ter gostado das mudanças, mas um deles foi o mensageiro XMPP para desktop Gajim e o outro foi o app móvel de guia de respiração Breathly
Atualmente estou usando o 2FAS com satisfação, mas fiquei curioso sobre como ele se compara ao Aegis
Dei uma olhada rápida e parece que o Aegis não oferece suporte a vários dispositivos e também não pode ser usado no desktop
https://2fas.com/
E eu também não sou o tipo de pessoa que está sempre com o celular no corpo