Aegis v3.0, l’application 2FA open source gratuite et sécurisée pour Android
(github.com/beemdevelopment)- Refonte de l’interface de l’application avec l’adoption de Material 3 et de Material You
- Ajout de l’attribution automatique d’icônes aux entrées, ainsi que d’une fonction pour tout sélectionner en une seule fois
- Prise en charge de l’import des sauvegardes 2FAS schema v4
- Ajout d’une fonction de tri des entrées selon leur dernière date d’utilisation
- Amélioration des performances lors du défilement des listes d’entrées contenant de nombreuses icônes
- Correction d’un problème d’échec de l’import direct d’Authy avec root
- Correction d’un léger problème d’affichage lié au réglage du multiplicateur de durée des animations, ainsi que diverses améliorations de stabilité
1 commentaires
Commentaires sur Hacker News
J’aime vraiment beaucoup Aegis, et je le considère comme l’une des applications les plus importantes sur mon téléphone
Si vous utilisez Aegis sur Android et une distribution Linux basée sur GNOME, je recommande vivement d’utiliser aussi Gnome Authenticator
flatpak install flathub com.belmoussaoui.AuthenticatorGnome Authenticator en est encore à ses débuts, donc il y a quelques bugs et, avec beaucoup de jetons, surtout des problèmes de performances, mais il peut importer et exporter le format d’Aegis ainsi que quelques autres formats
Avoir les seeds à la fois sur son téléphone, son portable et son ordinateur de bureau est vraiment pratique
https://gitlab.gnome.org/World/Authenticator
https://flathub.org/apps/com.belmoussaoui.Authenticator
J’espère qu’un jour Gnome Authenticator sera distribué comme partie intégrante de GNOME, mais ce n’est pas encore le cas
Il est aussi très facile de le compiler et de l’exécuter depuis les sources avec Gnome Builder. Il suffit d’ouvrir Builder, de cloner les sources depuis GitLab, puis d’appuyer sur le bouton « Build », et tout se fait automatiquement
https://wiki.gnome.org/Newcomers/BuildProject
Mais jusqu’ici, j’ai résisté à l’attrait de cette commodité, et j’ai également évité de mettre mes seeds TOTP dans Bitwarden ou 1Password. J’ai trop l’impression que ce qui était clairement 2 facteurs, voire parfois 3, se retrouve réduit à 2, voire à 1
J’aime les configurations bizarres, donc je vais probablement essayer Gnome Authenticator sur WSL2
Bitwarden et KeePassXC proposent eux aussi une authentification à deux facteurs gratuite, sécurisée et open source, en plus de la gestion des mots de passe
Je gère ça en stockant les clés secrètes TOTP séparément des mots de passe, dans un coffre distinct. Je ne vois pas très bien pourquoi il faudrait utiliser autre chose, donc si quelqu’un a une explication, ça m’intéresse
Au travail, nous utilisons Active Directory pour accéder à plusieurs sites avec le même compte, mais chaque site a un TOTP différent. Bitwarden ne permet d’en enregistrer qu’un seul, donc je dois mettre les autres dans une application d’authentification classique. Je n’ai pas envie de créer des comptes en double dans Bitwarden uniquement pour le TOTP
Je suis développeur depuis longtemps, mais plus proche d’une personne “normale” que du type de développeur qui commente ce genre d’article. Franchement, tout ça est vraiment, vraiment, vraiment confus
Je déteste devoir gérer ce genre de choses, et je ne le ferais pas volontairement, pour la même raison que je n’utilise pas PGP pour mes e-mails. J’utilise simplement Gmail sur le web, comme une personne ordinaire
Malgré tout, je suis obligé d’utiliser l’authentification à deux facteurs sur deux services, et j’ai configuré Google Authenticator sur mon téléphone Android. Les explications d’onboarding étaient nulles dans les deux cas, mais j’ai fini par réussir à connecter le tout, et maintenant je me connecte de cette manière à contrecœur
En lisant cet article, je me suis soudain demandé si perdre mon téléphone signifiait aussi perdre l’accès à ces services importants. Au moins, en regardant l’application Authenticator, j’ai été un peu rassuré par l’icône de nuage verte indiquant que « les codes sont enregistrés dans le compte Google »
La sécurité en ligne devient de plus en plus importante, mais c’est un véritable bourbier, et même quelqu’un qui maîtrise certains recoins obscurs du monde technique peut très bien ne pas vraiment comprendre tout cela. Simplement, la plupart des gens ne l’admettront sans doute pas comme moi
Une personne vraiment ordinaire, par exemple ma femme, a très peu de chances de comprendre les détails et de trouver la voie vers les bonnes pratiques. J’espère juste que Google ou Apple ne vont pas abandonner ça ou devenir totalement malveillants
Je vais vérifier si mes deux services fournissent des codes de récupération. Je me sens capable de gérer une combinaison identifiant/mot de passe importante ainsi que des codes de récupération, et c’est à peu près le niveau de complexité que je peux supporter sereinement dans ce domaine
Historiquement, j’ai eu plus de chances de perdre mon téléphone que de me faire voler mes identifiants, et le déni de service causé par la perte d’accès est plus grave pour moi que les dommages qu’un vol d’identifiants infligerait à moi-même et à l’entreprise qui détient le compte
Pour mon employeur ou certains comptes bancaires, c’est l’inverse, mais je ne relie en aucune façon mes appareils personnels aux comptes de mon employeur
Je trouve dommage que le secteur considère la sécurité sur un seul axe, comme si l’on pouvait seulement être plus ou moins sécurisé. Pour les comptes personnels, l’impossibilité d’accès est souvent plus grave et plus fréquente qu’une prise de contrôle du compte. Dans certains cas, l’authentification à deux facteurs réduit ma sécurité
Je considère cela comme aussi important que les produits de Mozilla. À l’avenir, on verra davantage d’applications de preuve de personnalité pour des raisons de sécurité
Mais les codes de récupération ne vont probablement pas disparaître de sitôt. Bien sûr, ce sera peut-être différent si les développeurs assistés par l’IA reçoivent une mémoire à long terme dans quelques années
Je fais des sauvegardes chiffrées dans deux emplacements différents, donc même si mon téléphone explose, je peux continuer à utiliser l’authentification à deux facteurs selon mes propres conditions
Y a-t-il d’autres personnes qui en ont assez de cette situation absurde où une organisation vous empêche d’avoir votre propre outil de génération de jetons et vous force à utiliser quelque chose comme Duo ?
Je n’ai affaire qu’à un seul cas comme ça et c’est déjà frustrant. J’imagine qu’on pourrait contourner ça avec un Android rooté ou quelque chose du genre, mais je n’ai pas eu beaucoup de temps pour chercher ou me battre avec ça
Ce n’est pas un remplacement complet, mais pour moi c’est largement suffisant. Bitwarden peut aussi être auto-hébergé
[0] Vaultwarden
Par exemple, on ne peut pas contrôler où les gens le stockent ni s’ils font des sauvegardes. Donc je comprends en partie pourquoi les entreprises préfèrent ce type de solution
À mon avis, Aegis devrait vraiment être bien plus connu. Je l’ai installé sur un vieux téléphone qui n’avait pas assez d’espace pour installer Google Authenticator, et j’ai été très satisfait de l’application
Le fait que ce soit un projet communautaire est aussi un bon bonus
Aegis est bien et agréable à utiliser
J’espère que d’autres ne suivront pas la tendance qui consiste à créer leur propre application d’authentification, comme Microsoft Authenticator, puis à empêcher l’usage d’apps comme Aegis en prétendant que les autres applications ne sont pas sûres
Je me demande comment fonctionnent les sauvegardes
Peut-on créer à la demande des sauvegardes chiffrées protégées par un mot de passe choisi par l’utilisateur ? Existe-t-il une application desktop capable d’ouvrir ou de lire ces sauvegardes, ou peut-on les lire avec quelque chose comme SQLite DB Browser ? Peut-on configurer l’enregistrement d’une copie chiffrée dans un service comme Dropbox à chaque modification ?
Je me demande aussi s’il est recommandé de l’installer via le Play Store, ou si l’APK GitHub est préférable
Oui, il est possible de faire à la demande des sauvegardes chiffrées protégées par mot de passe
Une fois déchiffré, c’est simplement du JSON normal, donc on peut toujours le lire. L’application GNOME Circle « Authenticator », que j’utilise sur desktop, peut importer nativement les sauvegardes Aegis. Je ne connais pas bien les autres applications
En regardant la page des paramètres, il semble aussi y avoir des fonctions liées aux sauvegardes automatiques et aux sauvegardes cloud, mais je ne les ai pas utilisées moi-même
Si vous utilisez l’APK GitHub, vous perdez les mises à jour automatiques. Moi, j’utilise F-Droid
C’est vraiment bien de voir de plus en plus d’applications adopter Material 3/You
Le design UI d’Apple n’a jamais été à mon goût, mais comparé à l’UI disparate d’Android, j’apprécie quand même la cohérence du design UI de la plupart des apps iOS
Cela dit, mon principal reproche au design des apps Android, c’est que beaucoup d’applications semblent être des implémentations bâclées de l’ancien Material UI assemblées à la va-vite dans un éditeur drag-and-drop comme le système de widgets d’Android Studio
C’est ce qu’on obtient quand on donne à n’importe qui les moyens de créer quelque chose et des incitations à gagner de l’argent avec la collecte de données et la publicité, sans la tyrannie d’entreprise à la Apple. C’est aussi pour ça que les applications des dépôts libres et open source comme F-Droid, même avec une UI/UX tout aussi variée, sont en général bien plus propres et agréables à utiliser
J’utilise Aegis depuis des années et je n’ai pas réussi à lui trouver de défaut. C’est une application parfaitement fonctionnelle, et j’ai hâte d’essayer la nouvelle mise à jour
J’ai récemment vu deux applications open source dont une grosse mise à jour a rendu l’UI/UX bien pire. Bien sûr, certaines personnes ont peut-être aimé ces changements, mais l’une était le messager XMPP desktop Gajim et l’autre l’application mobile de guidage respiratoire Breathly
J’utilise actuellement 2FAS avec satisfaction, mais je me demande comment il se compare à Aegis
Après une rapide recherche, on dirait qu’Aegis ne prend pas en charge plusieurs appareils et ne peut pas non plus être utilisé sur desktop
https://2fas.com/
Et je ne suis pas non plus du genre à avoir mon téléphone en permanence sur moi