5 Punkte von GN⁺ 2024-03-25 | 1 Kommentare | Auf WhatsApp teilen
  • Neues App-Design durch Einführung von Material 3 und Material You
  • Automatische Zuweisung von Symbolen für Einträge hinzugefügt, außerdem eine Funktion zum gleichzeitigen Auswählen aller Einträge
  • Unterstützung für den Import von Backups im 2FAS schema v4
  • Funktion zum Sortieren von Einträgen nach dem Zeitpunkt der letzten Verwendung hinzugefügt
  • Performance verbessert beim Scrollen durch Eintragslisten mit vielen Symbolen
  • Problem behoben, durch das der direkte Import aus Authy mit root fehlschlug
  • Kleines Anzeigeproblem im Zusammenhang mit der Einstellung für den Skalierungsfaktor der Animationsdauer behoben, außerdem mehrere Stabilitätsverbesserungen angewendet

1 Kommentare

 
GN⁺ 2024-03-25
Meinungen auf Hacker News
  • Ich mag Aegis wirklich sehr und sehe es als eine der wichtigsten Apps auf meinem Smartphone.
    Wenn ihr Aegis unter Android nutzt und eine GNOME-basierte Linux-Distribution verwendet, empfehle ich dringend, Gnome Authenticator dazu zu nutzen.
    flatpak install flathub com.belmoussaoui.Authenticator
    Gnome Authenticator ist noch in einem frühen Stadium und hat daher einige Bugs; bei vielen Tokens gibt es vor allem Performance-Probleme. Es kann aber das Aegis-Format und einige andere Formate importieren und exportieren.
    Es ist wirklich praktisch, die Seeds auf Smartphone, Laptop und Desktop zu haben.
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    Ich hoffe, dass Gnome Authenticator irgendwann als Teil von GNOME ausgeliefert wird, aber soweit ist es noch nicht.
    Auch das Bauen und Ausführen aus dem Source mit Gnome Builder ist sehr einfach. Builder öffnen, den Source von GitLab klonen und auf „Build“ klicken, dann läuft der Rest von selbst.
    https://wiki.gnome.org/Newcomers/BuildProject

    • Ich habe wirklich nicht vor, eine Authenticator-App als Flatpak zu installieren.
    • OTP auth, das Tool, das ich unter iOS nutze, kann das ebenfalls. Es lässt sich mit iCloud synchronisieren und ist verschlüsselt, also kann man es auch unter macOS verwenden.
      Bisher habe ich der Versuchung dieser Bequemlichkeit aber widerstanden und auch vermieden, TOTP-Seeds in Bitwarden oder 1Password zu legen. Es fühlt sich nämlich stark so an, als würden aus dem, was eindeutig zwei, vielleicht sogar drei Authentifizierungsfaktoren waren, zwei oder manchmal sogar nur einer.
    • Da Authy die Desktop-Version einstellen will, habe ich nach einer Alternative gesucht, und diese Kombination klingt nach einer guten Option.
      Weil ich seltsame Setups mag, werde ich vermutlich Gnome Authenticator auf WSL2 ausprobieren.
    • Nehmt einfach eine KeePass-Datenbank, dann seid ihr nicht an ein bestimmtes Betriebssystem gebunden. KeePassXC, Keepass2Android usw. verwenden und so synchronisieren, wie ihr wollt.
    • Ich frage mich, warum man nicht KeePass verwendet.
  • Bitwarden und KeePassXC bieten zusätzlich zur Passwortverwaltung ebenfalls kostenlose und sichere Open-Source-Zwei-Faktor-Authentifizierung.
    Ich verwalte TOTP-Secret-Keys getrennt von den Passwörtern in einem separaten Tresor. Ich verstehe nicht wirklich, warum ich etwas anderes verwenden sollte, und würde gern hören, wenn jemand Gründe dafür hat.

    • Damit wird aus Zwei-Faktor-Authentifizierung Ein-Faktor-Authentifizierung, weil kein Besitzfaktor mehr übrig bleibt.
    • Der größte Nachteil bei der Nutzung von 2FA-TOTP mit Bitwarden ist, dass man pro Passwort nur ein TOTP hinzufügen kann.
      In der Firma verwenden wir Active Directory und greifen mit demselben Konto auf mehrere Websites zu, aber jede Website hat ihr eigenes TOTP. In Bitwarden kann man nur eines speichern, die übrigen muss man also in eine normale Authenticator-App legen. Ich möchte nicht nur für TOTP doppelte Konten in Bitwarden anlegen.
    • Bitwarden 2FA ist nicht kostenlos.
  • Ich bin zwar ein langjähriger Entwickler, aber eher ein „normaler Mensch“ als der Typ Entwickler, der hier kommentiert. Ehrlich gesagt ist dieses Thema wirklich, wirklich, wirklich verwirrend.
    Ich hasse es, mich damit zu beschäftigen, und mache es aus demselben Grund nicht freiwillig, aus dem ich auch kein PGP für E-Mails nutze. Ich verwende einfach wie ein normaler Mensch Gmail im Web.
    Trotzdem muss ich bei zwei Diensten Zwei-Faktor-Authentifizierung nutzen und habe Google Authenticator auf meinem Android-Smartphone eingerichtet. Bei beiden Diensten war die Onboarding-Erklärung miserabel, aber die Verknüpfung hat irgendwie funktioniert, und jetzt logge ich mich widerwillig auf diese Weise ein.
    Beim Lesen dieses Artikels kam mir plötzlich der Gedanke, ob ich beim Verlust meines Smartphones auch den Zugriff auf diese wichtigen Dienste verliere. Zumindest zeigt mir die Authenticator-App ein grünes Wolkensymbol mit „Codes werden in deinem Google-Konto gespeichert“, was etwas beruhigend ist.
    Online-Sicherheit wird immer wichtiger, ist aber ein kompletter Sumpf; selbst jemand, der sich in manchen obskuren Ecken der Tech-Welt bestens auskennt, kann das hier nicht richtig verstehen. Die meisten würden das aber wohl nicht so zugeben wie ich.
    Ein wirklich normaler Mensch, etwa meine Frau, hat kaum eine Chance, die Details zu durchschauen und den Weg zu Best Practices zu finden. Ich hoffe, Google oder Apple geben das nicht auf oder werden nicht völlig böse.
    Ich werde prüfen, ob meine beiden Dienste Wiederherstellungscodes anbieten. Wichtige Kombinationen aus Benutzername/Passwort und Wiederherstellungscodes zu verwalten, traue ich mir zu; mehr ist in diesem Bereich ungefähr das Niveau, mit dem ich mich wohlfühle.

    • In meinem persönlichen Threat Model senken die meisten Zwei-Faktor-Authentifizierungsabläufe die Sicherheit eher.
      Historisch gesehen war es wahrscheinlicher, dass ich mein Smartphone verliere, als dass meine Zugangsdaten gestohlen werden; und der Denial of Service durch verlorenen Zugriff ist gravierender als der Schaden, der mir und dem kontoführenden Unternehmen durch kompromittierte Zugangsdaten entsteht.
      Bei manchen Arbeitgeber- oder Bankkonten ist es umgekehrt, aber ich verknüpfe persönliche Geräte in keiner Weise mit Arbeitgeberkonten.
      Ich finde es schade, dass die Branche Sicherheit als eindimensionale Achse betrachtet und nur in sicherer oder weniger sicher denkt. Bei privaten Konten ist Nichtzugriff oft schwerwiegender und häufiger als Kontoübernahme. In manchen Fällen macht Zwei-Faktor-Authentifizierung meine Sicherheit schlechter.
    • Der aktuelle Stand der Technik fühlt sich wirklich beängstigend an. Diese Zwei-Faktor-Authentifizierung ist wie ein Wunder. Kostenlos und unabhängig von Big Tech.
      Ich halte sie für ähnlich wichtig wie Mozilla-Produkte. Künftig werden aus Sicherheitsgründen mehr Anwendungen zum Nachweis der Persönlichkeit entstehen.
      Wiederherstellungscodes werden aber wohl vorerst nicht verschwinden. Außer natürlich, KI-gestützte Entwickler bekommen in ein paar Jahren ein Langzeitgedächtnis geschenkt.
    • Die Frage ist, ob du beim Verlust deines Smartphones noch Zugriff auf dein Google-Konto hast. Dieses Konto gehört nicht dir, sondern Google.
    • Genau aus diesem Grund habe ich angefangen, Aegis zu nutzen, und vertraue ihm stark: wegen der Backup-Funktion.
      Ich sichere verschlüsselt an zwei unterschiedlichen Orten, sodass ich auch dann weiter nach meinen Bedingungen Zwei-Faktor-Authentifizierung nutzen kann, wenn mein Smartphone explodiert.
  • Wo wir schon dabei sind: Gibt es noch jemanden, der diese unsinnige Situation erlebt, dass Organisationen einem nicht erlauben, das Tool zur Token-Erzeugung selbst zu besitzen, und einen stattdessen zwingen, etwas wie Duo zu verwenden?
    Mich nervt schon ein einziger solcher Fall. Vermutlich könnte man das mit einem gerooteten Android-Gerät oder Ähnlichem umgehen, aber ich hatte nicht viel Zeit, danach zu suchen oder mich darum zu streiten.

    • Duo erlaubt die Nutzung physischer Sicherheitsschlüssel. Ich speichere sie als Passkeys in Bitwarden und nutze sie so.
      Das ist kein vollständiger Ersatz, reicht mir aber. Bitwarden kann man auch selbst hosten.
      [0] Vaultwarden
    • Auf einem gerooteten Gerät kann Aegis bereitwillig das Duo-Secret absaugen.
    • TOTP ist grundsätzlich weniger sicher als solche proprietären Lösungen.
      Zum Beispiel, weil man nicht kontrollieren kann, wo Nutzer es speichern oder ob sie Backups anlegen. Daher ist es bis zu einem gewissen Grad nachvollziehbar, dass Unternehmen solche Lösungen bevorzugen.
  • Ich finde, Aegis sollte wirklich viel bekannter sein. Ich habe es auf einem alten Telefon installiert, auf dem der Speicherplatz für Google Authenticator nicht ausreichte, und war mit der App sehr zufrieden.
    Dass es ein Community-Projekt ist, ist ein schöner Bonus.

    • Das ist mehr als nur ein Bonus. Nur bei Projekten dieser Art kann man darauf vertrauen, dass sie nicht morgen, übermorgen oder in einem Jahr wegen Gewinnmotiven oder eines geplanten Börsengangs die User Experience komplett ruinieren und so viel Geld wie möglich herauspressen.
  • Aegis ist gut und angenehm zu benutzen.
    Ich hoffe, andere folgen nicht dem Trend, wie Microsoft Authenticator eine eigene Authenticator-App zu bauen und dann Authenticator-Apps wie Aegis zu blockieren, indem sie behaupten, andere Apps seien unsicher.

  • Ich frage mich, wie Backups funktionieren.
    Kann man bei Bedarf ein verschlüsseltes Backup erstellen, das mit einem vom Nutzer festgelegten Passwort geschützt ist? Gibt es eine Desktop-App, mit der man so ein Backup öffnen oder lesen kann, oder kann man es etwa mit SQLite DB Browser lesen? Kann man es so konfigurieren, dass bei jeder Änderung eine verschlüsselte Kopie an einem Ort wie Dropbox gespeichert wird?
    Außerdem frage ich mich, ob die Installation über den Play Store empfohlen wird oder ob das APK von GitHub besser ist.

    • Ich nutze Aegis als meine Haupt-App für Zwei-Faktor-Authentifizierung und kann daher antworten.
      Ein passwortgeschütztes, verschlüsseltes Backup auf Anfrage ist möglich.
      Nach dem Entschlüsseln ist es einfach normales JSON und daher jederzeit lesbar. Die GNOME-Circle-App „Authenticator“, die ich auf dem Desktop nutze, kann Aegis-Backups nativ importieren. Zu anderen Apps weiß ich nicht viel.
      Auf der Einstellungsseite scheint es auch Funktionen für automatische Backups und Cloud-Backups zu geben, aber ich habe sie selbst nicht ausprobiert.
      Wenn du das GitHub-APK verwendest, verlierst du automatische Updates. Ich nutze F-Droid.
  • Es ist wirklich schön, dass immer mehr Apps Material 3/You verwenden.
    Apples UI-Design war nie mein Geschmack, aber im Vergleich zu den uneinheitlichen UIs unter Android gefällt mir die Konsistenz des UI-Designs der meisten iOS-Apps.

    • Ich würde jederzeit die vielfältigere UI-Erfahrung von Android der stärker polierten, aber streng vorgegebenen Erfahrung von iOS vorziehen.
      Allerdings scheint meine Hauptbeschwerde am Design von Android-Apps darin zu liegen, dass viele Apps miserable Implementierungen sind, bei denen alte Material-UI-Elemente hastig in einem Drag-and-drop-Editor wie dem Widget-System von Android Studio zusammengeklickt wurden.
      Wenn man ohne Applesche Konzern-Tyrannei jedem erlaubt, etwas zu bauen, und Anreize schafft, mit Datensammlung und Werbung Geld zu verdienen, kommt genau so etwas dabei heraus. Deshalb sind Apps in freien und Open-Source-Repositories wie F-Droid trotz ebenso vielfältiger UI/UX im Allgemeinen deutlich angenehmer und aufgeräumter zu nutzen.
  • Ich nutze Aegis seit Jahren und habe nichts gefunden, was mir daran nicht gefällt. Es ist eine vollkommen funktionale App, und ich freue mich darauf, das neue Update auszuprobieren.

    • Deshalb hat mir der Titel erst etwas Angst gemacht. Nach den Screenshots zu urteilen, dürfte es aber in Ordnung sein.
      In letzter Zeit habe ich zwei Open-Source-Apps erlebt, bei denen ein großes Update die UI/UX deutlich verschlechtert hat. Natürlich mögen manche Leute diese Änderungen gut finden, aber eine war der Gajim-XMPP-Messenger auf dem Desktop, die andere die Atemübungs-App Breathly auf Mobilgeräten.
    • Stimme voll zu. Es ist so ziemlich die einzige App, die ich je benutzt habe, die man als makellos bezeichnen könnte.
  • Derzeit nutze ich 2FAS zufrieden, frage mich aber, wie es im Vergleich zu Aegis abschneidet.
    Nach kurzem Nachsehen scheint Aegis mehrere Geräte nicht zu unterstützen und auch nicht auf dem Desktop nutzbar zu sein.
    https://2fas.com/

    • Ich fände es gut, wenn eine Desktop-App hinzukäme. Ich verbringe mehr Zeit vor diesem Bildschirm als am Telefon.
      Außerdem trage ich mein Telefon nicht ständig bei mir.