5 points par GN⁺ 2024-03-25 | 1 commentaires | Partager sur WhatsApp
  • Refonte de l’interface de l’application avec l’adoption de Material 3 et de Material You
  • Ajout de l’attribution automatique d’icônes aux entrées, ainsi que d’une fonction pour tout sélectionner en une seule fois
  • Prise en charge de l’import des sauvegardes 2FAS schema v4
  • Ajout d’une fonction de tri des entrées selon leur dernière date d’utilisation
  • Amélioration des performances lors du défilement des listes d’entrées contenant de nombreuses icônes
  • Correction d’un problème d’échec de l’import direct d’Authy avec root
  • Correction d’un léger problème d’affichage lié au réglage du multiplicateur de durée des animations, ainsi que diverses améliorations de stabilité

1 commentaires

 
GN⁺ 2024-03-25
Commentaires sur Hacker News
  • J’aime vraiment beaucoup Aegis, et je le considère comme l’une des applications les plus importantes sur mon téléphone
    Si vous utilisez Aegis sur Android et une distribution Linux basée sur GNOME, je recommande vivement d’utiliser aussi Gnome Authenticator
    flatpak install flathub com.belmoussaoui.Authenticator
    Gnome Authenticator en est encore à ses débuts, donc il y a quelques bugs et, avec beaucoup de jetons, surtout des problèmes de performances, mais il peut importer et exporter le format d’Aegis ainsi que quelques autres formats
    Avoir les seeds à la fois sur son téléphone, son portable et son ordinateur de bureau est vraiment pratique
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    J’espère qu’un jour Gnome Authenticator sera distribué comme partie intégrante de GNOME, mais ce n’est pas encore le cas
    Il est aussi très facile de le compiler et de l’exécuter depuis les sources avec Gnome Builder. Il suffit d’ouvrir Builder, de cloner les sources depuis GitLab, puis d’appuyer sur le bouton « Build », et tout se fait automatiquement
    https://wiki.gnome.org/Newcomers/BuildProject

    • Je n’envisagerais absolument pas d’installer une application d’authentification via Flatpak
    • OTP auth, l’outil que j’utilise sur iOS, permet aussi de faire la même chose. Il peut se synchroniser avec iCloud et reste chiffré, ce qui permet aussi de l’utiliser sur macOS
      Mais jusqu’ici, j’ai résisté à l’attrait de cette commodité, et j’ai également évité de mettre mes seeds TOTP dans Bitwarden ou 1Password. J’ai trop l’impression que ce qui était clairement 2 facteurs, voire parfois 3, se retrouve réduit à 2, voire à 1
    • Je cherchais une alternative depuis qu’Authy a décidé d’abandonner sa version desktop, et cette combinaison semble être une bonne option
      J’aime les configurations bizarres, donc je vais probablement essayer Gnome Authenticator sur WSL2
    • Il suffit d’utiliser une base de données KeePass pour ne pas être lié à un système d’exploitation précis. Vous pouvez utiliser KeePassXC, Keepass2Android, etc., et synchroniser comme vous voulez
    • Je me demande pourquoi ne pas utiliser KeePass
  • Bitwarden et KeePassXC proposent eux aussi une authentification à deux facteurs gratuite, sécurisée et open source, en plus de la gestion des mots de passe
    Je gère ça en stockant les clés secrètes TOTP séparément des mots de passe, dans un coffre distinct. Je ne vois pas très bien pourquoi il faudrait utiliser autre chose, donc si quelqu’un a une explication, ça m’intéresse

    • Dans ce cas, l’authentification à deux facteurs devient une authentification à un facteur. Il n’y a plus de facteur de possession
    • Le plus gros inconvénient quand on utilise le TOTP de 2FA avec Bitwarden, c’est qu’on ne peut ajouter qu’un seul TOTP par mot de passe
      Au travail, nous utilisons Active Directory pour accéder à plusieurs sites avec le même compte, mais chaque site a un TOTP différent. Bitwarden ne permet d’en enregistrer qu’un seul, donc je dois mettre les autres dans une application d’authentification classique. Je n’ai pas envie de créer des comptes en double dans Bitwarden uniquement pour le TOTP
    • La 2FA de Bitwarden n’est pas gratuite
  • Je suis développeur depuis longtemps, mais plus proche d’une personne “normale” que du type de développeur qui commente ce genre d’article. Franchement, tout ça est vraiment, vraiment, vraiment confus
    Je déteste devoir gérer ce genre de choses, et je ne le ferais pas volontairement, pour la même raison que je n’utilise pas PGP pour mes e-mails. J’utilise simplement Gmail sur le web, comme une personne ordinaire
    Malgré tout, je suis obligé d’utiliser l’authentification à deux facteurs sur deux services, et j’ai configuré Google Authenticator sur mon téléphone Android. Les explications d’onboarding étaient nulles dans les deux cas, mais j’ai fini par réussir à connecter le tout, et maintenant je me connecte de cette manière à contrecœur
    En lisant cet article, je me suis soudain demandé si perdre mon téléphone signifiait aussi perdre l’accès à ces services importants. Au moins, en regardant l’application Authenticator, j’ai été un peu rassuré par l’icône de nuage verte indiquant que « les codes sont enregistrés dans le compte Google »
    La sécurité en ligne devient de plus en plus importante, mais c’est un véritable bourbier, et même quelqu’un qui maîtrise certains recoins obscurs du monde technique peut très bien ne pas vraiment comprendre tout cela. Simplement, la plupart des gens ne l’admettront sans doute pas comme moi
    Une personne vraiment ordinaire, par exemple ma femme, a très peu de chances de comprendre les détails et de trouver la voie vers les bonnes pratiques. J’espère juste que Google ou Apple ne vont pas abandonner ça ou devenir totalement malveillants
    Je vais vérifier si mes deux services fournissent des codes de récupération. Je me sens capable de gérer une combinaison identifiant/mot de passe importante ainsi que des codes de récupération, et c’est à peu près le niveau de complexité que je peux supporter sereinement dans ce domaine

    • Dans mon modèle de menace personnel, la plupart des flux d’authentification à deux facteurs réduisent en fait ma sécurité
      Historiquement, j’ai eu plus de chances de perdre mon téléphone que de me faire voler mes identifiants, et le déni de service causé par la perte d’accès est plus grave pour moi que les dommages qu’un vol d’identifiants infligerait à moi-même et à l’entreprise qui détient le compte
      Pour mon employeur ou certains comptes bancaires, c’est l’inverse, mais je ne relie en aucune façon mes appareils personnels aux comptes de mon employeur
      Je trouve dommage que le secteur considère la sécurité sur un seul axe, comme si l’on pouvait seulement être plus ou moins sécurisé. Pour les comptes personnels, l’impossibilité d’accès est souvent plus grave et plus fréquente qu’une prise de contrôle du compte. Dans certains cas, l’authentification à deux facteurs réduit ma sécurité
    • L’état actuel de la technologie me fait vraiment peur. Cette 2FA ressemble à un miracle. C’est gratuit et indépendant des big tech
      Je considère cela comme aussi important que les produits de Mozilla. À l’avenir, on verra davantage d’applications de preuve de personnalité pour des raisons de sécurité
      Mais les codes de récupération ne vont probablement pas disparaître de sitôt. Bien sûr, ce sera peut-être différent si les développeurs assistés par l’IA reçoivent une mémoire à long terme dans quelques années
    • La vraie question, quand vous perdez votre téléphone, c’est de savoir si vous pouvez accéder à votre compte Google. Ce compte ne vous appartient pas, il appartient à Google
    • C’est exactement pour cette raison que j’ai commencé à utiliser Aegis, et que je lui fais une grande confiance. À cause de sa fonction de sauvegarde
      Je fais des sauvegardes chiffrées dans deux emplacements différents, donc même si mon téléphone explose, je peux continuer à utiliser l’authentification à deux facteurs selon mes propres conditions
  • Y a-t-il d’autres personnes qui en ont assez de cette situation absurde où une organisation vous empêche d’avoir votre propre outil de génération de jetons et vous force à utiliser quelque chose comme Duo ?
    Je n’ai affaire qu’à un seul cas comme ça et c’est déjà frustrant. J’imagine qu’on pourrait contourner ça avec un Android rooté ou quelque chose du genre, mais je n’ai pas eu beaucoup de temps pour chercher ou me battre avec ça

    • Duo permet d’utiliser des clés de sécurité physiques. Moi, je les enregistre comme passkeys dans Bitwarden
      Ce n’est pas un remplacement complet, mais pour moi c’est largement suffisant. Bitwarden peut aussi être auto-hébergé
      [0] Vaultwarden
    • Sur un appareil rooté, Aegis peut volontiers aspirer le secret de Duo
    • Le TOTP est intrinsèquement moins sûr que ce genre de solutions propriétaires
      Par exemple, on ne peut pas contrôler où les gens le stockent ni s’ils font des sauvegardes. Donc je comprends en partie pourquoi les entreprises préfèrent ce type de solution
  • À mon avis, Aegis devrait vraiment être bien plus connu. Je l’ai installé sur un vieux téléphone qui n’avait pas assez d’espace pour installer Google Authenticator, et j’ai été très satisfait de l’application
    Le fait que ce soit un projet communautaire est aussi un bon bonus

    • C’est plus qu’un bonus. C’est le seul type de projet dont on peut croire qu’il ne va pas, demain, après-demain ou dans un an, ruiner complètement l’expérience utilisateur pour en extraire le plus d’argent possible à cause d’incitations liées au profit ou d’une introduction en bourse prévue
  • Aegis est bien et agréable à utiliser
    J’espère que d’autres ne suivront pas la tendance qui consiste à créer leur propre application d’authentification, comme Microsoft Authenticator, puis à empêcher l’usage d’apps comme Aegis en prétendant que les autres applications ne sont pas sûres

  • Je me demande comment fonctionnent les sauvegardes
    Peut-on créer à la demande des sauvegardes chiffrées protégées par un mot de passe choisi par l’utilisateur ? Existe-t-il une application desktop capable d’ouvrir ou de lire ces sauvegardes, ou peut-on les lire avec quelque chose comme SQLite DB Browser ? Peut-on configurer l’enregistrement d’une copie chiffrée dans un service comme Dropbox à chaque modification ?
    Je me demande aussi s’il est recommandé de l’installer via le Play Store, ou si l’APK GitHub est préférable

    • J’utilise Aegis comme application principale pour la double authentification, donc je peux répondre
      Oui, il est possible de faire à la demande des sauvegardes chiffrées protégées par mot de passe
      Une fois déchiffré, c’est simplement du JSON normal, donc on peut toujours le lire. L’application GNOME Circle « Authenticator », que j’utilise sur desktop, peut importer nativement les sauvegardes Aegis. Je ne connais pas bien les autres applications
      En regardant la page des paramètres, il semble aussi y avoir des fonctions liées aux sauvegardes automatiques et aux sauvegardes cloud, mais je ne les ai pas utilisées moi-même
      Si vous utilisez l’APK GitHub, vous perdez les mises à jour automatiques. Moi, j’utilise F-Droid
  • C’est vraiment bien de voir de plus en plus d’applications adopter Material 3/You
    Le design UI d’Apple n’a jamais été à mon goût, mais comparé à l’UI disparate d’Android, j’apprécie quand même la cohérence du design UI de la plupart des apps iOS

    • Je choisirai toujours la diversité de l’expérience UI sur Android plutôt que l’expérience iOS, plus polie mais très rigide
      Cela dit, mon principal reproche au design des apps Android, c’est que beaucoup d’applications semblent être des implémentations bâclées de l’ancien Material UI assemblées à la va-vite dans un éditeur drag-and-drop comme le système de widgets d’Android Studio
      C’est ce qu’on obtient quand on donne à n’importe qui les moyens de créer quelque chose et des incitations à gagner de l’argent avec la collecte de données et la publicité, sans la tyrannie d’entreprise à la Apple. C’est aussi pour ça que les applications des dépôts libres et open source comme F-Droid, même avec une UI/UX tout aussi variée, sont en général bien plus propres et agréables à utiliser
  • J’utilise Aegis depuis des années et je n’ai pas réussi à lui trouver de défaut. C’est une application parfaitement fonctionnelle, et j’ai hâte d’essayer la nouvelle mise à jour

    • C’est pour ça que le titre m’a un peu inquiété. En voyant les captures d’écran, ça a l’air d’aller
      J’ai récemment vu deux applications open source dont une grosse mise à jour a rendu l’UI/UX bien pire. Bien sûr, certaines personnes ont peut-être aimé ces changements, mais l’une était le messager XMPP desktop Gajim et l’autre l’application mobile de guidage respiratoire Breathly
    • Tout à fait d’accord. C’est pratiquement la seule application que j’ai utilisée qu’on puisse considérer comme irréprochable
  • J’utilise actuellement 2FAS avec satisfaction, mais je me demande comment il se compare à Aegis
    Après une rapide recherche, on dirait qu’Aegis ne prend pas en charge plusieurs appareils et ne peut pas non plus être utilisé sur desktop
    https://2fas.com/

    • Ce serait bien d’ajouter une application desktop. Je passe plus de temps devant cet écran que sur mon téléphone
      Et je ne suis pas non plus du genre à avoir mon téléphone en permanence sur moi