Aegis v3.0, ứng dụng 2FA mã nguồn mở miễn phí và an toàn cho Android
(github.com/beemdevelopment)- Thay đổi thiết kế giao diện ứng dụng với việc áp dụng Material 3 và Material You
- Thêm tính năng tự động gán biểu tượng cho mục, cùng tính năng chọn tất cả mục cùng lúc
- Hỗ trợ nhập bản sao lưu 2FAS schema v4
- Thêm tính năng sắp xếp mục theo thời điểm sử dụng gần nhất
- Cải thiện hiệu năng khi cuộn danh sách mục có nhiều biểu tượng
- Sửa lỗi thất bại khi nhập trực tiếp Authy bằng root
- Sửa một số vấn đề hiển thị nhỏ liên quan đến thiết lập tỷ lệ thời lượng hoạt ảnh, đồng thời áp dụng nhiều cải thiện về độ ổn định
1 bình luận
Ý kiến trên Hacker News
Tôi rất thích Aegis và xem nó là một trong những ứng dụng quan trọng nhất trên điện thoại của mình
Nếu dùng Aegis trên Android và một bản phân phối Linux dựa trên GNOME, tôi rất khuyến nghị dùng kèm Gnome Authenticator
flatpak install flathub com.belmoussaoui.AuthenticatorGnome Authenticator vẫn còn ở giai đoạn đầu nên có vài lỗi, và nếu có nhiều token thì chủ yếu gặp vấn đề hiệu năng, nhưng nó có thể nhập và xuất định dạng Aegis cùng một số định dạng khác
Việc có seed trên cả điện thoại, laptop và desktop thật sự rất tiện
https://gitlab.gnome.org/World/Authenticator
https://flathub.org/apps/com.belmoussaoui.Authenticator
Hy vọng một ngày nào đó Gnome Authenticator sẽ được phân phối như một phần của GNOME, nhưng hiện thì chưa
Việc build từ mã nguồn và chạy bằng Gnome Builder cũng rất dễ. Mở Builder, clone mã nguồn từ GitLab rồi bấm nút “Build”, mọi thứ sẽ tự chạy
https://wiki.gnome.org/Newcomers/BuildProject
Nhưng đến giờ tôi vẫn cưỡng lại sự tiện lợi đó, và cũng tránh đưa seed TOTP vào Bitwarden hay 1Password. Vì cảm giác rất rõ là thứ vốn chắc chắn là 2, thậm chí có thể là 3 yếu tố xác thực, bị giảm xuống còn 2 hoặc đôi khi chỉ 1 yếu tố
Vì thích cấu hình kỳ quặc nên có lẽ tôi sẽ thử chạy Gnome Authenticator trên WSL2
Bitwarden và KeePassXC, ngoài quản lý mật khẩu, cũng cung cấp xác thực hai bước miễn phí, an toàn và mã nguồn mở
Tôi đang quản lý khóa bí mật TOTP bằng cách lưu chúng trong một kho riêng, tách khỏi mật khẩu. Tôi không rõ vì sao phải dùng thứ khác, và mong ai đó giải thích lý do
Ở công ty, chúng tôi dùng Active Directory để truy cập nhiều trang bằng cùng một tài khoản, nhưng TOTP của từng trang lại khác nhau. Bitwarden chỉ lưu được một cái, nên phần còn lại phải đưa vào ứng dụng xác thực thông thường. Tôi không muốn tạo các tài khoản trùng lặp trong Bitwarden chỉ để lưu TOTP
Tôi là developer làm lâu năm, nhưng gần với “người bình thường” hơn là kiểu developer hay bình luận về bài này. Thành thật mà nói, những chuyện này thật sự, thật sự, thật sự khó hiểu
Tôi ghét phải xử lý những thứ như vậy, và cũng vì cùng lý do tôi không dùng PGP cho email nên tôi sẽ không tự nguyện làm. Tôi chỉ dùng Gmail web như người bình thường
Dù vậy, với hai dịch vụ thì tôi buộc phải dùng xác thực hai bước, và đã thiết lập Google Authenticator trên điện thoại Android. Cả hai dịch vụ đều có phần hướng dẫn onboarding rất tệ, nhưng dù sao cũng liên kết được, và giờ tôi miễn cưỡng đăng nhập theo cách đó
Đọc bài này, tôi chợt nghĩ nếu mất điện thoại thì có phải tôi cũng mất quyền truy cập vào các dịch vụ quan trọng đó không. Ít nhất khi nhìn vào ứng dụng Authenticator, tôi thấy biểu tượng đám mây màu xanh “mã đang được lưu vào Tài khoản Google”, nên cũng yên tâm phần nào
Bảo mật trực tuyến ngày càng quan trọng, nhưng đúng là một vũng lầy; ngay cả người biết hết một góc khó hiểu nào đó của thế giới công nghệ cũng có thể không thật sự hiểu đúng chuyện này. Chỉ là tôi nghĩ đa số sẽ không thừa nhận như tôi
Người thật sự bình thường, chẳng hạn như vợ tôi, gần như không có khả năng nắm được các chi tiết và tự tìm đường đến các thực hành tốt nhất. Tôi hy vọng Google hoặc Apple sẽ không bỏ cuộc với việc này, hoặc không trở nên hoàn toàn độc ác
Tôi định kiểm tra xem hai dịch vụ của mình có cung cấp mã khôi phục không. Tôi tự tin rằng mình có thể quản lý các cặp tên người dùng/mật khẩu quan trọng cùng mã khôi phục, và đó là mức tôi cảm thấy mình có thể thoải mái đảm đương trong lĩnh vực này
Theo kinh nghiệm từ trước đến nay, khả năng tôi làm mất điện thoại cao hơn khả năng thông tin đăng nhập của tôi bị đánh cắp; và việc bị từ chối dịch vụ do mất quyền truy cập nghiêm trọng hơn thiệt hại mà tôi và công ty nắm giữ tài khoản phải chịu do lộ thông tin đăng nhập
Với một số tài khoản của chủ lao động hoặc ngân hàng thì ngược lại, nhưng tôi không liên kết thiết bị cá nhân với tài khoản của chủ lao động dưới bất kỳ hình thức nào
Tôi thấy tiếc khi ngành này nhìn bảo mật như một trục duy nhất và chỉ nghĩ là an toàn hơn hoặc kém an toàn hơn. Với tài khoản cá nhân, không thể truy cập thường nghiêm trọng và phổ biến hơn việc bị chiếm tài khoản. Trong một số trường hợp, xác thực hai bước làm bảo mật của tôi kém đi
Tôi xem nó quan trọng ngang với các sản phẩm của Mozilla. Trong tương lai, vì lý do bảo mật sẽ có nhiều ứng dụng chứng minh tính cá nhân hơn
Nhưng có lẽ mã khôi phục sẽ chưa biến mất trong thời gian tới. Tất nhiên, nếu các lập trình viên được AI hỗ trợ được ban tặng trí nhớ dài hạn trong vài năm nữa thì có thể khác
Tôi sao lưu ở dạng mã hóa tại hai vị trí khác nhau, nên dù điện thoại có nổ tung thì tôi vẫn có thể tiếp tục xác thực hai bước theo điều kiện của mình
Nhân tiện đã nói đến đây, có ai từng gặp tình huống ngớ ngẩn là tổ chức không cho tự giữ công cụ tạo token và bắt buộc dùng những thứ như Duo không?
Với tôi chỉ có một trường hợp thôi mà đã thấy bực rồi. Có lẽ có thể vượt qua bằng kiểu Android đã root, nhưng tôi không có nhiều thời gian để tìm hiểu hay đấu tranh
Không phải thay thế hoàn toàn, nhưng với tôi là đủ. Bitwarden cũng có thể tự host
[0] Vaultwarden
Ví dụ vì không thể kiểm soát mọi người lưu ở đâu, có tạo bản sao lưu hay không. Vì vậy cũng phần nào hiểu được tại sao các công ty thích những giải pháp đó
Tôi nghĩ Aegis thực sự nên được biết đến rộng rãi hơn. Tôi cài nó trên một chiếc điện thoại cũ không đủ dung lượng để cài Google Authenticator và thấy ứng dụng rất ưng ý
Việc đây là dự án cộng đồng cũng là một điểm cộng tốt
Aegis tốt và dùng rất dễ chịu
Hy vọng những nơi khác không chạy theo xu hướng tự làm ứng dụng xác thực như Microsoft Authenticator, rồi nói các ứng dụng khác không an toàn và chặn không cho dùng các app xác thực như Aegis
Tôi tò mò phần sao lưu hoạt động thế nào
Có thể tạo bản sao lưu mã hóa được bảo vệ bằng mật khẩu do người dùng chỉ định khi cần không? Có ứng dụng desktop nào mở hoặc đọc được bản sao lưu đó không, hay có thể đọc bằng thứ như SQLite DB Browser? Có thể cấu hình để mỗi khi có thay đổi thì lưu một bản sao đã mã hóa lên nơi như Dropbox không?
Tôi cũng tò mò nên cài từ Play Store, hay APK trên GitHub thì tốt hơn
Có thể tạo bản sao lưu mã hóa được bảo vệ bằng mật khẩu theo yêu cầu
Sau khi giải mã thì chỉ là JSON thông thường nên luôn đọc được. Ứng dụng GNOME Circle “Authenticator” mà tôi dùng trên desktop có thể nhập backup của Aegis một cách native. Các ứng dụng khác thì tôi không rõ
Nhìn trang cài đặt thì có vẻ cũng có tính năng liên quan đến sao lưu tự động và sao lưu đám mây, nhưng tôi chưa tự dùng thử
Dùng APK từ GitHub thì sẽ mất cập nhật tự động. Tôi dùng F-Droid
Thật tuyệt khi ngày càng nhiều app bắt đầu dùng Material 3/You
Tôi không thích thiết kế UI của Apple, nhưng so với UI mỗi nơi một kiểu của Android thì tôi thích tính nhất quán trong thiết kế UI của hầu hết ứng dụng iOS
Tuy vậy, phàn nàn chính về thiết kế ứng dụng Android có lẽ là nhiều app chỉ là những triển khai tệ, kiểu ghép vội UI Material cũ bằng trình chỉnh sửa kéo-thả như hệ thống widget của Android Studio
Khi cho phép bất kỳ ai tạo thứ gì đó và khuyến khích kiếm tiền bằng thu thập dữ liệu và quảng cáo, mà không có kiểu chuyên chế doanh nghiệp như Apple, thì kết quả sẽ như vậy. Vì thế các ứng dụng trong kho phần mềm tự do và nguồn mở như F-Droid, dù UI/UX cũng đa dạng không kém, nhìn chung vẫn sạch sẽ và dễ dùng hơn nhiều
Tôi đã dùng Aegis vài năm và không tìm thấy điểm nào không thích. Đây là một ứng dụng hoàn toàn đúng chức năng, và tôi mong được thử bản cập nhật mới
Gần đây tôi đã gặp hai app nguồn mở mà bản cập nhật lớn làm UI/UX tệ đi nhiều. Tất nhiên có thể một số người thích những thay đổi đó, nhưng một cái là trình nhắn tin XMPP Gajim trên desktop, cái còn lại là ứng dụng hướng dẫn thở Breathly trên mobile
Hiện tôi đang dùng 2FAS khá hài lòng, nhưng tò mò không biết so với Aegis thì thế nào
Tìm qua thì có vẻ Aegis không hỗ trợ nhiều thiết bị và cũng không dùng được trên desktop
https://2fas.com/
Tôi cũng không phải kiểu lúc nào cũng mang điện thoại bên người