5 điểm bởi GN⁺ 2024-03-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Thay đổi thiết kế giao diện ứng dụng với việc áp dụng Material 3 và Material You
  • Thêm tính năng tự động gán biểu tượng cho mục, cùng tính năng chọn tất cả mục cùng lúc
  • Hỗ trợ nhập bản sao lưu 2FAS schema v4
  • Thêm tính năng sắp xếp mục theo thời điểm sử dụng gần nhất
  • Cải thiện hiệu năng khi cuộn danh sách mục có nhiều biểu tượng
  • Sửa lỗi thất bại khi nhập trực tiếp Authy bằng root
  • Sửa một số vấn đề hiển thị nhỏ liên quan đến thiết lập tỷ lệ thời lượng hoạt ảnh, đồng thời áp dụng nhiều cải thiện về độ ổn định

1 bình luận

 
GN⁺ 2024-03-25
Ý kiến trên Hacker News
  • Tôi rất thích Aegis và xem nó là một trong những ứng dụng quan trọng nhất trên điện thoại của mình
    Nếu dùng Aegis trên Android và một bản phân phối Linux dựa trên GNOME, tôi rất khuyến nghị dùng kèm Gnome Authenticator
    flatpak install flathub com.belmoussaoui.Authenticator
    Gnome Authenticator vẫn còn ở giai đoạn đầu nên có vài lỗi, và nếu có nhiều token thì chủ yếu gặp vấn đề hiệu năng, nhưng nó có thể nhập và xuất định dạng Aegis cùng một số định dạng khác
    Việc có seed trên cả điện thoại, laptop và desktop thật sự rất tiện
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    Hy vọng một ngày nào đó Gnome Authenticator sẽ được phân phối như một phần của GNOME, nhưng hiện thì chưa
    Việc build từ mã nguồn và chạy bằng Gnome Builder cũng rất dễ. Mở Builder, clone mã nguồn từ GitLab rồi bấm nút “Build”, mọi thứ sẽ tự chạy
    https://wiki.gnome.org/Newcomers/BuildProject

    • Tôi hoàn toàn không có ý định cài ứng dụng xác thực dưới dạng Flatpak
    • Công cụ tôi dùng trên iOS là OTP auth cũng làm được điều tương tự. Nó có thể đồng bộ qua iCloud, và vì được mã hóa bằng mật mã nên cũng dùng được trên macOS
      Nhưng đến giờ tôi vẫn cưỡng lại sự tiện lợi đó, và cũng tránh đưa seed TOTP vào Bitwarden hay 1Password. Vì cảm giác rất rõ là thứ vốn chắc chắn là 2, thậm chí có thể là 3 yếu tố xác thực, bị giảm xuống còn 2 hoặc đôi khi chỉ 1 yếu tố
    • Authy sắp ngừng phiên bản desktop nên tôi đang tìm giải pháp thay thế, và tổ hợp này nghe có vẻ là một lựa chọn tốt
      Vì thích cấu hình kỳ quặc nên có lẽ tôi sẽ thử chạy Gnome Authenticator trên WSL2
    • Chỉ cần dùng cơ sở dữ liệu KeePass là không bị ràng buộc vào một hệ điều hành cụ thể. Dùng KeePassXC, Keepass2Android, v.v. rồi đồng bộ theo cách mình muốn là được
    • Tôi thắc mắc tại sao không dùng KeePass
  • Bitwarden và KeePassXC, ngoài quản lý mật khẩu, cũng cung cấp xác thực hai bước miễn phí, an toàn và mã nguồn mở
    Tôi đang quản lý khóa bí mật TOTP bằng cách lưu chúng trong một kho riêng, tách khỏi mật khẩu. Tôi không rõ vì sao phải dùng thứ khác, và mong ai đó giải thích lý do

    • Làm vậy thì xác thực hai bước bị giảm thành xác thực một bước. Vì không còn yếu tố sở hữu nữa
    • Nhược điểm lớn nhất khi dùng TOTP xác thực hai bước với Bitwarden là mỗi mật khẩu chỉ có thể thêm một TOTP
      Ở công ty, chúng tôi dùng Active Directory để truy cập nhiều trang bằng cùng một tài khoản, nhưng TOTP của từng trang lại khác nhau. Bitwarden chỉ lưu được một cái, nên phần còn lại phải đưa vào ứng dụng xác thực thông thường. Tôi không muốn tạo các tài khoản trùng lặp trong Bitwarden chỉ để lưu TOTP
    • Bitwarden 2FA không miễn phí
  • Tôi là developer làm lâu năm, nhưng gần với “người bình thường” hơn là kiểu developer hay bình luận về bài này. Thành thật mà nói, những chuyện này thật sự, thật sự, thật sự khó hiểu
    Tôi ghét phải xử lý những thứ như vậy, và cũng vì cùng lý do tôi không dùng PGP cho email nên tôi sẽ không tự nguyện làm. Tôi chỉ dùng Gmail web như người bình thường
    Dù vậy, với hai dịch vụ thì tôi buộc phải dùng xác thực hai bước, và đã thiết lập Google Authenticator trên điện thoại Android. Cả hai dịch vụ đều có phần hướng dẫn onboarding rất tệ, nhưng dù sao cũng liên kết được, và giờ tôi miễn cưỡng đăng nhập theo cách đó
    Đọc bài này, tôi chợt nghĩ nếu mất điện thoại thì có phải tôi cũng mất quyền truy cập vào các dịch vụ quan trọng đó không. Ít nhất khi nhìn vào ứng dụng Authenticator, tôi thấy biểu tượng đám mây màu xanh “mã đang được lưu vào Tài khoản Google”, nên cũng yên tâm phần nào
    Bảo mật trực tuyến ngày càng quan trọng, nhưng đúng là một vũng lầy; ngay cả người biết hết một góc khó hiểu nào đó của thế giới công nghệ cũng có thể không thật sự hiểu đúng chuyện này. Chỉ là tôi nghĩ đa số sẽ không thừa nhận như tôi
    Người thật sự bình thường, chẳng hạn như vợ tôi, gần như không có khả năng nắm được các chi tiết và tự tìm đường đến các thực hành tốt nhất. Tôi hy vọng Google hoặc Apple sẽ không bỏ cuộc với việc này, hoặc không trở nên hoàn toàn độc ác
    Tôi định kiểm tra xem hai dịch vụ của mình có cung cấp mã khôi phục không. Tôi tự tin rằng mình có thể quản lý các cặp tên người dùng/mật khẩu quan trọng cùng mã khôi phục, và đó là mức tôi cảm thấy mình có thể thoải mái đảm đương trong lĩnh vực này

    • Trong mô hình mối đe dọa cá nhân của tôi, phần lớn các luồng xác thực hai bước thực ra lại làm giảm bảo mật
      Theo kinh nghiệm từ trước đến nay, khả năng tôi làm mất điện thoại cao hơn khả năng thông tin đăng nhập của tôi bị đánh cắp; và việc bị từ chối dịch vụ do mất quyền truy cập nghiêm trọng hơn thiệt hại mà tôi và công ty nắm giữ tài khoản phải chịu do lộ thông tin đăng nhập
      Với một số tài khoản của chủ lao động hoặc ngân hàng thì ngược lại, nhưng tôi không liên kết thiết bị cá nhân với tài khoản của chủ lao động dưới bất kỳ hình thức nào
      Tôi thấy tiếc khi ngành này nhìn bảo mật như một trục duy nhất và chỉ nghĩ là an toàn hơn hoặc kém an toàn hơn. Với tài khoản cá nhân, không thể truy cập thường nghiêm trọng và phổ biến hơn việc bị chiếm tài khoản. Trong một số trường hợp, xác thực hai bước làm bảo mật của tôi kém đi
    • Tình trạng công nghệ hiện nay thật sự khiến tôi thấy đáng sợ. Xác thực hai bước này giống như một phép màu. Nó miễn phí và độc lập với Big Tech
      Tôi xem nó quan trọng ngang với các sản phẩm của Mozilla. Trong tương lai, vì lý do bảo mật sẽ có nhiều ứng dụng chứng minh tính cá nhân hơn
      Nhưng có lẽ mã khôi phục sẽ chưa biến mất trong thời gian tới. Tất nhiên, nếu các lập trình viên được AI hỗ trợ được ban tặng trí nhớ dài hạn trong vài năm nữa thì có thể khác
    • Vấn đề là khi mất điện thoại, bạn có truy cập được Tài khoản Google hay không. Tài khoản đó không phải của bạn, mà là của Google
    • Chính vì lý do đó mà tôi bắt đầu dùng Aegis và rất tin tưởng nó. Vì tính năng sao lưu
      Tôi sao lưu ở dạng mã hóa tại hai vị trí khác nhau, nên dù điện thoại có nổ tung thì tôi vẫn có thể tiếp tục xác thực hai bước theo điều kiện của mình
  • Nhân tiện đã nói đến đây, có ai từng gặp tình huống ngớ ngẩn là tổ chức không cho tự giữ công cụ tạo token và bắt buộc dùng những thứ như Duo không?
    Với tôi chỉ có một trường hợp thôi mà đã thấy bực rồi. Có lẽ có thể vượt qua bằng kiểu Android đã root, nhưng tôi không có nhiều thời gian để tìm hiểu hay đấu tranh

    • Duo cho phép dùng khóa bảo mật vật lý. Tôi lưu nó dưới dạng passkey trong Bitwarden để dùng
      Không phải thay thế hoàn toàn, nhưng với tôi là đủ. Bitwarden cũng có thể tự host
      [0] Vaultwarden
    • Nếu là thiết bị đã root thì Aegis có thể sẵn lòng hút secret của Duo vào
    • TOTP về bản chất kém an toàn hơn các giải pháp độc quyền kiểu này
      Ví dụ vì không thể kiểm soát mọi người lưu ở đâu, có tạo bản sao lưu hay không. Vì vậy cũng phần nào hiểu được tại sao các công ty thích những giải pháp đó
  • Tôi nghĩ Aegis thực sự nên được biết đến rộng rãi hơn. Tôi cài nó trên một chiếc điện thoại cũ không đủ dung lượng để cài Google Authenticator và thấy ứng dụng rất ưng ý
    Việc đây là dự án cộng đồng cũng là một điểm cộng tốt

    • Cái đó còn hơn cả điểm cộng. Chỉ những dự án kiểu này mới có thể tin rằng dù là ngày mai, ngày kia hay một năm nữa, chúng sẽ không vì động cơ lợi nhuận hay một kế hoạch IPO mà phá hỏng hoàn toàn trải nghiệm người dùng rồi vắt kiệt tiền của họ
  • Aegis tốt và dùng rất dễ chịu
    Hy vọng những nơi khác không chạy theo xu hướng tự làm ứng dụng xác thực như Microsoft Authenticator, rồi nói các ứng dụng khác không an toàn và chặn không cho dùng các app xác thực như Aegis

  • Tôi tò mò phần sao lưu hoạt động thế nào
    Có thể tạo bản sao lưu mã hóa được bảo vệ bằng mật khẩu do người dùng chỉ định khi cần không? Có ứng dụng desktop nào mở hoặc đọc được bản sao lưu đó không, hay có thể đọc bằng thứ như SQLite DB Browser? Có thể cấu hình để mỗi khi có thay đổi thì lưu một bản sao đã mã hóa lên nơi như Dropbox không?
    Tôi cũng tò mò nên cài từ Play Store, hay APK trên GitHub thì tốt hơn

    • Tôi đang dùng Aegis làm app chính cho xác thực hai bước nên có thể trả lời
      Có thể tạo bản sao lưu mã hóa được bảo vệ bằng mật khẩu theo yêu cầu
      Sau khi giải mã thì chỉ là JSON thông thường nên luôn đọc được. Ứng dụng GNOME Circle “Authenticator” mà tôi dùng trên desktop có thể nhập backup của Aegis một cách native. Các ứng dụng khác thì tôi không rõ
      Nhìn trang cài đặt thì có vẻ cũng có tính năng liên quan đến sao lưu tự động và sao lưu đám mây, nhưng tôi chưa tự dùng thử
      Dùng APK từ GitHub thì sẽ mất cập nhật tự động. Tôi dùng F-Droid
  • Thật tuyệt khi ngày càng nhiều app bắt đầu dùng Material 3/You
    Tôi không thích thiết kế UI của Apple, nhưng so với UI mỗi nơi một kiểu của Android thì tôi thích tính nhất quán trong thiết kế UI của hầu hết ứng dụng iOS

    • Lúc nào tôi cũng sẽ chọn trải nghiệm UI đa dạng hơn của Android thay vì trải nghiệm được trau chuốt hơn nhưng bị quy định rất chặt của iOS
      Tuy vậy, phàn nàn chính về thiết kế ứng dụng Android có lẽ là nhiều app chỉ là những triển khai tệ, kiểu ghép vội UI Material cũ bằng trình chỉnh sửa kéo-thả như hệ thống widget của Android Studio
      Khi cho phép bất kỳ ai tạo thứ gì đó và khuyến khích kiếm tiền bằng thu thập dữ liệu và quảng cáo, mà không có kiểu chuyên chế doanh nghiệp như Apple, thì kết quả sẽ như vậy. Vì thế các ứng dụng trong kho phần mềm tự do và nguồn mở như F-Droid, dù UI/UX cũng đa dạng không kém, nhìn chung vẫn sạch sẽ và dễ dùng hơn nhiều
  • Tôi đã dùng Aegis vài năm và không tìm thấy điểm nào không thích. Đây là một ứng dụng hoàn toàn đúng chức năng, và tôi mong được thử bản cập nhật mới

    • Vì vậy đọc tiêu đề tôi hơi sợ. Nhìn ảnh chụp màn hình thì có vẻ sẽ ổn
      Gần đây tôi đã gặp hai app nguồn mở mà bản cập nhật lớn làm UI/UX tệ đi nhiều. Tất nhiên có thể một số người thích những thay đổi đó, nhưng một cái là trình nhắn tin XMPP Gajim trên desktop, cái còn lại là ứng dụng hướng dẫn thở Breathly trên mobile
    • Hoàn toàn đồng ý. Đây gần như là ứng dụng duy nhất trong số những app tôi từng dùng có thể coi là không chê vào đâu được
  • Hiện tôi đang dùng 2FAS khá hài lòng, nhưng tò mò không biết so với Aegis thì thế nào
    Tìm qua thì có vẻ Aegis không hỗ trợ nhiều thiết bị và cũng không dùng được trên desktop
    https://2fas.com/

    • Sẽ rất tốt nếu họ thêm ứng dụng desktop. Tôi dành nhiều thời gian trước màn hình đó hơn là trên điện thoại
      Tôi cũng không phải kiểu lúc nào cũng mang điện thoại bên người