Kostenlose und sichere Open-Source-2FA-App für Android, Aegis v3.0
(github.com/beemdevelopment)- Neues App-Design durch Einführung von Material 3 und Material You
- Automatische Zuweisung von Symbolen für Einträge hinzugefügt, außerdem eine Funktion zum gleichzeitigen Auswählen aller Einträge
- Unterstützung für den Import von Backups im 2FAS schema v4
- Funktion zum Sortieren von Einträgen nach dem Zeitpunkt der letzten Verwendung hinzugefügt
- Performance verbessert beim Scrollen durch Eintragslisten mit vielen Symbolen
- Problem behoben, durch das der direkte Import aus Authy mit root fehlschlug
- Kleines Anzeigeproblem im Zusammenhang mit der Einstellung für den Skalierungsfaktor der Animationsdauer behoben, außerdem mehrere Stabilitätsverbesserungen angewendet
1 Kommentare
Meinungen auf Hacker News
Ich mag Aegis wirklich sehr und sehe es als eine der wichtigsten Apps auf meinem Smartphone.
Wenn ihr Aegis unter Android nutzt und eine GNOME-basierte Linux-Distribution verwendet, empfehle ich dringend, Gnome Authenticator dazu zu nutzen.
flatpak install flathub com.belmoussaoui.AuthenticatorGnome Authenticator ist noch in einem frühen Stadium und hat daher einige Bugs; bei vielen Tokens gibt es vor allem Performance-Probleme. Es kann aber das Aegis-Format und einige andere Formate importieren und exportieren.
Es ist wirklich praktisch, die Seeds auf Smartphone, Laptop und Desktop zu haben.
https://gitlab.gnome.org/World/Authenticator
https://flathub.org/apps/com.belmoussaoui.Authenticator
Ich hoffe, dass Gnome Authenticator irgendwann als Teil von GNOME ausgeliefert wird, aber soweit ist es noch nicht.
Auch das Bauen und Ausführen aus dem Source mit Gnome Builder ist sehr einfach. Builder öffnen, den Source von GitLab klonen und auf „Build“ klicken, dann läuft der Rest von selbst.
https://wiki.gnome.org/Newcomers/BuildProject
Bisher habe ich der Versuchung dieser Bequemlichkeit aber widerstanden und auch vermieden, TOTP-Seeds in Bitwarden oder 1Password zu legen. Es fühlt sich nämlich stark so an, als würden aus dem, was eindeutig zwei, vielleicht sogar drei Authentifizierungsfaktoren waren, zwei oder manchmal sogar nur einer.
Weil ich seltsame Setups mag, werde ich vermutlich Gnome Authenticator auf WSL2 ausprobieren.
Bitwarden und KeePassXC bieten zusätzlich zur Passwortverwaltung ebenfalls kostenlose und sichere Open-Source-Zwei-Faktor-Authentifizierung.
Ich verwalte TOTP-Secret-Keys getrennt von den Passwörtern in einem separaten Tresor. Ich verstehe nicht wirklich, warum ich etwas anderes verwenden sollte, und würde gern hören, wenn jemand Gründe dafür hat.
In der Firma verwenden wir Active Directory und greifen mit demselben Konto auf mehrere Websites zu, aber jede Website hat ihr eigenes TOTP. In Bitwarden kann man nur eines speichern, die übrigen muss man also in eine normale Authenticator-App legen. Ich möchte nicht nur für TOTP doppelte Konten in Bitwarden anlegen.
Ich bin zwar ein langjähriger Entwickler, aber eher ein „normaler Mensch“ als der Typ Entwickler, der hier kommentiert. Ehrlich gesagt ist dieses Thema wirklich, wirklich, wirklich verwirrend.
Ich hasse es, mich damit zu beschäftigen, und mache es aus demselben Grund nicht freiwillig, aus dem ich auch kein PGP für E-Mails nutze. Ich verwende einfach wie ein normaler Mensch Gmail im Web.
Trotzdem muss ich bei zwei Diensten Zwei-Faktor-Authentifizierung nutzen und habe Google Authenticator auf meinem Android-Smartphone eingerichtet. Bei beiden Diensten war die Onboarding-Erklärung miserabel, aber die Verknüpfung hat irgendwie funktioniert, und jetzt logge ich mich widerwillig auf diese Weise ein.
Beim Lesen dieses Artikels kam mir plötzlich der Gedanke, ob ich beim Verlust meines Smartphones auch den Zugriff auf diese wichtigen Dienste verliere. Zumindest zeigt mir die Authenticator-App ein grünes Wolkensymbol mit „Codes werden in deinem Google-Konto gespeichert“, was etwas beruhigend ist.
Online-Sicherheit wird immer wichtiger, ist aber ein kompletter Sumpf; selbst jemand, der sich in manchen obskuren Ecken der Tech-Welt bestens auskennt, kann das hier nicht richtig verstehen. Die meisten würden das aber wohl nicht so zugeben wie ich.
Ein wirklich normaler Mensch, etwa meine Frau, hat kaum eine Chance, die Details zu durchschauen und den Weg zu Best Practices zu finden. Ich hoffe, Google oder Apple geben das nicht auf oder werden nicht völlig böse.
Ich werde prüfen, ob meine beiden Dienste Wiederherstellungscodes anbieten. Wichtige Kombinationen aus Benutzername/Passwort und Wiederherstellungscodes zu verwalten, traue ich mir zu; mehr ist in diesem Bereich ungefähr das Niveau, mit dem ich mich wohlfühle.
Historisch gesehen war es wahrscheinlicher, dass ich mein Smartphone verliere, als dass meine Zugangsdaten gestohlen werden; und der Denial of Service durch verlorenen Zugriff ist gravierender als der Schaden, der mir und dem kontoführenden Unternehmen durch kompromittierte Zugangsdaten entsteht.
Bei manchen Arbeitgeber- oder Bankkonten ist es umgekehrt, aber ich verknüpfe persönliche Geräte in keiner Weise mit Arbeitgeberkonten.
Ich finde es schade, dass die Branche Sicherheit als eindimensionale Achse betrachtet und nur in sicherer oder weniger sicher denkt. Bei privaten Konten ist Nichtzugriff oft schwerwiegender und häufiger als Kontoübernahme. In manchen Fällen macht Zwei-Faktor-Authentifizierung meine Sicherheit schlechter.
Ich halte sie für ähnlich wichtig wie Mozilla-Produkte. Künftig werden aus Sicherheitsgründen mehr Anwendungen zum Nachweis der Persönlichkeit entstehen.
Wiederherstellungscodes werden aber wohl vorerst nicht verschwinden. Außer natürlich, KI-gestützte Entwickler bekommen in ein paar Jahren ein Langzeitgedächtnis geschenkt.
Ich sichere verschlüsselt an zwei unterschiedlichen Orten, sodass ich auch dann weiter nach meinen Bedingungen Zwei-Faktor-Authentifizierung nutzen kann, wenn mein Smartphone explodiert.
Wo wir schon dabei sind: Gibt es noch jemanden, der diese unsinnige Situation erlebt, dass Organisationen einem nicht erlauben, das Tool zur Token-Erzeugung selbst zu besitzen, und einen stattdessen zwingen, etwas wie Duo zu verwenden?
Mich nervt schon ein einziger solcher Fall. Vermutlich könnte man das mit einem gerooteten Android-Gerät oder Ähnlichem umgehen, aber ich hatte nicht viel Zeit, danach zu suchen oder mich darum zu streiten.
Das ist kein vollständiger Ersatz, reicht mir aber. Bitwarden kann man auch selbst hosten.
[0] Vaultwarden
Zum Beispiel, weil man nicht kontrollieren kann, wo Nutzer es speichern oder ob sie Backups anlegen. Daher ist es bis zu einem gewissen Grad nachvollziehbar, dass Unternehmen solche Lösungen bevorzugen.
Ich finde, Aegis sollte wirklich viel bekannter sein. Ich habe es auf einem alten Telefon installiert, auf dem der Speicherplatz für Google Authenticator nicht ausreichte, und war mit der App sehr zufrieden.
Dass es ein Community-Projekt ist, ist ein schöner Bonus.
Aegis ist gut und angenehm zu benutzen.
Ich hoffe, andere folgen nicht dem Trend, wie Microsoft Authenticator eine eigene Authenticator-App zu bauen und dann Authenticator-Apps wie Aegis zu blockieren, indem sie behaupten, andere Apps seien unsicher.
Ich frage mich, wie Backups funktionieren.
Kann man bei Bedarf ein verschlüsseltes Backup erstellen, das mit einem vom Nutzer festgelegten Passwort geschützt ist? Gibt es eine Desktop-App, mit der man so ein Backup öffnen oder lesen kann, oder kann man es etwa mit SQLite DB Browser lesen? Kann man es so konfigurieren, dass bei jeder Änderung eine verschlüsselte Kopie an einem Ort wie Dropbox gespeichert wird?
Außerdem frage ich mich, ob die Installation über den Play Store empfohlen wird oder ob das APK von GitHub besser ist.
Ein passwortgeschütztes, verschlüsseltes Backup auf Anfrage ist möglich.
Nach dem Entschlüsseln ist es einfach normales JSON und daher jederzeit lesbar. Die GNOME-Circle-App „Authenticator“, die ich auf dem Desktop nutze, kann Aegis-Backups nativ importieren. Zu anderen Apps weiß ich nicht viel.
Auf der Einstellungsseite scheint es auch Funktionen für automatische Backups und Cloud-Backups zu geben, aber ich habe sie selbst nicht ausprobiert.
Wenn du das GitHub-APK verwendest, verlierst du automatische Updates. Ich nutze F-Droid.
Es ist wirklich schön, dass immer mehr Apps Material 3/You verwenden.
Apples UI-Design war nie mein Geschmack, aber im Vergleich zu den uneinheitlichen UIs unter Android gefällt mir die Konsistenz des UI-Designs der meisten iOS-Apps.
Allerdings scheint meine Hauptbeschwerde am Design von Android-Apps darin zu liegen, dass viele Apps miserable Implementierungen sind, bei denen alte Material-UI-Elemente hastig in einem Drag-and-drop-Editor wie dem Widget-System von Android Studio zusammengeklickt wurden.
Wenn man ohne Applesche Konzern-Tyrannei jedem erlaubt, etwas zu bauen, und Anreize schafft, mit Datensammlung und Werbung Geld zu verdienen, kommt genau so etwas dabei heraus. Deshalb sind Apps in freien und Open-Source-Repositories wie F-Droid trotz ebenso vielfältiger UI/UX im Allgemeinen deutlich angenehmer und aufgeräumter zu nutzen.
Ich nutze Aegis seit Jahren und habe nichts gefunden, was mir daran nicht gefällt. Es ist eine vollkommen funktionale App, und ich freue mich darauf, das neue Update auszuprobieren.
In letzter Zeit habe ich zwei Open-Source-Apps erlebt, bei denen ein großes Update die UI/UX deutlich verschlechtert hat. Natürlich mögen manche Leute diese Änderungen gut finden, aber eine war der Gajim-XMPP-Messenger auf dem Desktop, die andere die Atemübungs-App Breathly auf Mobilgeräten.
Derzeit nutze ich 2FAS zufrieden, frage mich aber, wie es im Vergleich zu Aegis abschneidet.
Nach kurzem Nachsehen scheint Aegis mehrere Geräte nicht zu unterstützen und auch nicht auf dem Desktop nutzbar zu sein.
https://2fas.com/
Außerdem trage ich mein Telefon nicht ständig bei mir.