5 puntos por GN⁺ 2024-03-25 | 1 comentarios | Compartir por WhatsApp
  • Cambio en el diseño de la interfaz de la app con la adopción de Material 3 y Material You
  • Se agregó la función de asignación automática de íconos a las entradas, y la función para seleccionar todas las entradas de una sola vez
  • Soporte para importar copias de seguridad de 2FAS schema v4
  • Se agregó la función para ordenar las entradas según la hora de último uso
  • Mejoras de rendimiento al desplazarse por listas de entradas con muchos íconos
  • Se corrigió un problema por el que fallaba la importación directa desde Authy usando root
  • Se corrigieron problemas menores de visualización relacionados con la configuración de escala de duración de animaciones, y se aplicaron varias mejoras de estabilidad

1 comentarios

 
GN⁺ 2024-03-25
Opiniones de Hacker News
  • Me gusta muchísimo Aegis y lo considero una de las apps más importantes de mi teléfono
    Si usas Aegis en Android y una distribución de Linux basada en GNOME, recomiendo mucho usarlo junto con Gnome Authenticator
    flatpak install flathub com.belmoussaoui.Authenticator
    Gnome Authenticator todavía está en una etapa temprana, así que tiene algunos bugs y, si tienes muchos tokens, sobre todo problemas de rendimiento, pero puede importar y exportar el formato de Aegis y algunos otros formatos
    Es realmente cómodo tener las semillas en el teléfono, la laptop y la computadora de escritorio
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    Espero que algún día Gnome Authenticator se distribuya como parte de GNOME, pero todavía no
    También es muy fácil compilarlo y ejecutarlo desde el código fuente con Gnome Builder. Abres Builder, clonas el código fuente desde GitLab y presionas el botón “Build”; se encarga de todo
    https://wiki.gnome.org/Newcomers/BuildProject

    • No tengo ninguna intención de instalar una app de autenticación como Flatpak
    • OTP auth, la herramienta que uso en iOS, también permite hacer lo mismo. Se puede sincronizar con iCloud y, como está cifrada con una contraseña, también se puede usar en macOS
      Pero hasta ahora he resistido la tentación de esa comodidad, y también he evitado poner las semillas TOTP en Bitwarden o 1Password. Porque se siente mucho como si algo que claramente eran 2 factores, quizá 3, se redujera a 2 o a veces a 1
    • Como Authy decidió descontinuar la versión de escritorio, estaba buscando una alternativa, y esta combinación suena como una buena opción
      Como me gustan las configuraciones raras, probablemente pruebe usar Gnome Authenticator sobre WSL2
    • Simplemente usa una base de datos KeePass y no quedas atado a un sistema operativo específico. Usa KeePassXC, Keepass2Android, etc., y sincroniza como prefieras
    • Me pregunto por qué no usar KeePass
  • Bitwarden y KeePassXC también ofrecen autenticación de dos factores gratuita, segura y de código abierto, además de la gestión de contraseñas
    Manejo las claves secretas TOTP guardándolas en una bóveda separada de las contraseñas. No tengo muy claro por qué debería usar otra cosa, y me gustaría que alguien me diera una razón

    • Si haces eso, la autenticación de dos factores se reduce a autenticación de un factor. Porque ya no queda ningún factor de posesión
    • La mayor desventaja de usar TOTP de autenticación de dos factores con Bitwarden es que solo puedes agregar un TOTP por contraseña
      En mi empresa usamos Active Directory para acceder a varios sitios con la misma cuenta, pero el TOTP de cada sitio es distinto. En Bitwarden solo puedo guardar uno, así que los demás tienen que ir en una app de autenticación normal. No quiero crear cuentas duplicadas en Bitwarden solo para TOTP
    • Bitwarden 2FA no es gratis
  • Soy un desarrollador con muchos años de experiencia, pero estoy más cerca de una “persona común” que del tipo de desarrollador que comenta en este artículo. Sinceramente, estas cosas son realmente, realmente, realmente confusas
    No me gusta lidiar con esto y no lo hago voluntariamente, por la misma razón por la que no uso PGP en el correo. Simplemente uso Gmail web como una persona normal
    Aun así, en dos servicios no me quedó otra que usar autenticación de dos factores, y configuré Google Authenticator en mi teléfono Android. En ambos servicios, las explicaciones de onboarding fueron pésimas, pero de todos modos quedó conectado, y ahora inicio sesión de esa forma a regañadientes
    Mientras leía esto, de pronto pensé: si pierdo mi teléfono, ¿también pierdo el acceso a esos servicios importantes? Al menos, al ver la app Authenticator, aparece un ícono verde de nube que dice “los códigos se están guardando en tu cuenta de Google”, lo cual me tranquiliza un poco
    La seguridad en línea es cada vez más importante, pero es un pantano total, y alguien que conoce todos los rincones oscuros del mundo técnico aun así puede no entender bien esto. Solo que creo que la mayoría no lo admitiría como yo
    Una persona realmente común, por ejemplo alguien como mi esposa, casi no tiene posibilidades de entender los detalles y encontrar el camino hacia las mejores prácticas. Espero que Google o Apple no abandonen esto ni se vuelvan completamente malvados
    Pienso revisar si mis dos servicios ofrecen códigos de recuperación. Me siento capaz de manejar combinaciones importantes de usuario/contraseña y códigos de recuperación, y ese es más o menos el nivel que puedo asumir cómodamente en este terreno

    • En mi modelo personal de amenazas, la mayoría de los flujos de autenticación de dos factores en realidad reducen la seguridad
      Históricamente, ha sido más probable que pierda el teléfono a que me roben mis credenciales, y la denegación de servicio por perder el acceso es más grave que el daño que un robo de credenciales nos causaría a mí y a la empresa que gestiona la cuenta
      Con mi empleador o con algunas cuentas bancarias ocurre lo contrario, pero no conecto mis dispositivos personales con cuentas del empleador de ninguna forma
      Me frustra que la industria vea la seguridad como un solo eje y piense únicamente en términos de más seguro o menos seguro. En las cuentas personales, la imposibilidad de acceso muchas veces es más grave y común que el secuestro de la cuenta. En algunos casos, la autenticación de dos factores reduce mi seguridad
    • El estado actual de la tecnología se siente realmente aterrador. Esta autenticación de dos factores parece un milagro. Es gratuita e independiente de las Big Tech
      La considero tan importante como los productos de Mozilla. En el futuro, por seguridad, veremos más aplicaciones de prueba de personalidad
      Pero no creo que los códigos de recuperación vayan a desaparecer pronto. Claro, quizá sea distinto si en unos años los desarrolladores asistidos por IA reciben el regalo de la memoria a largo plazo
    • El problema es si puedes acceder a tu cuenta de Google cuando pierdes el teléfono. Esa cuenta no es tuya, es de Google
    • Precisamente por eso empecé a usar Aegis y confío mucho en ella: por su función de respaldo
      Como hago respaldos cifrados en dos ubicaciones distintas, aunque mi teléfono explote puedo seguir usando la autenticación de dos factores bajo mis propias condiciones
  • Ya que llegamos hasta acá, ¿alguien más ha pasado por la situación tonta de que en su organización no le permitan tener una herramienta propia para generar tokens y lo obliguen a usar algo como Duo?
    A mí me pasa con una sola y aun así es frustrante. Supongo que se podría sortear con algo como un Android rooteado, pero no tuve mucho tiempo para investigar ni para pelearlo.

    • Duo permite usar llaves de seguridad físicas. Yo guardo eso en Bitwarden como passkey.
      No es un reemplazo perfecto, pero para mí alcanza. Bitwarden también se puede autoalojar.
      [0] Vaultwarden
    • Si tienes un dispositivo rooteado, Aegis puede absorber sin problema el secreto de Duo.
    • TOTP es, por naturaleza, menos seguro que estas soluciones propietarias.
      Por ejemplo, porque no se puede controlar dónde lo guarda la gente ni si hace respaldos. Por eso hasta cierto punto se entiende que las empresas prefieran esas soluciones.
  • Creo que Aegis realmente debería ser mucho más conocido. Lo instalé en un teléfono viejo que no tenía suficiente almacenamiento para instalar Google Authenticator, y la app me dejó muy satisfecho.
    Que sea un proyecto comunitario también es un gran plus.

    • Es más que un plus. Solo en proyectos de este tipo puedo confiar en que mañana, pasado mañana o dentro de un año no van a destrozar por completo la experiencia de usuario ni a exprimir todo el dinero posible por motivos de rentabilidad o por una salida a bolsa programada.
  • Aegis es bueno y da gusto usarlo.
    Espero que otros no sigan la tendencia de crear su propia app de autenticación, como Microsoft Authenticator, y luego impedir el uso de apps de autenticación como Aegis diciendo que las demás no son seguras.

  • Me da curiosidad cómo funcionan los respaldos.
    ¿Se puede crear cuando sea necesario un respaldo cifrado protegido con una contraseña definida por el usuario? ¿Hay una app de escritorio que pueda abrir o leer ese respaldo, o se puede leer con algo como SQLite DB Browser? ¿Se puede configurar para que, cada vez que haya cambios, guarde una copia cifrada en algún lugar como Dropbox?
    También me pregunto si lo recomendable es instalarla desde Play Store o si es mejor el APK de GitHub.

    • Uso Aegis como mi app principal para autenticación de dos factores, así que puedo responder.
      Sí se pueden hacer respaldos cifrados protegidos con contraseña bajo demanda.
      Al descifrarlos son simplemente JSON normal, así que siempre se pueden leer. La app de GNOME Circle que uso en el escritorio, “Authenticator”, puede importar respaldos de Aegis de forma nativa. No sé bien sobre otras apps.
      Al mirar la página de configuración, parece que también hay funciones relacionadas con respaldos automáticos y respaldos en la nube, pero no las he usado personalmente.
      Si usas el APK de GitHub, pierdes las actualizaciones automáticas. Yo uso F-Droid.
  • Me alegra mucho que cada vez más apps empiecen a usar Material 3/You.
    El diseño de UI de Apple nunca fue de mi gusto, pero comparado con las interfaces tan disparejas de Android, sí me gusta la consistencia del diseño de UI en la mayoría de las apps de iOS.

    • Yo elegiría en cualquier momento la experiencia de UI más variada de Android antes que la experiencia más pulida pero fuertemente prescrita de iOS.
      Dicho eso, creo que mi principal queja sobre el diseño de apps en Android es que muchas son implementaciones mediocres hechas pegando a la ligera la antigua Material UI en algún editor de arrastrar y soltar, como el sistema de widgets de Android Studio.
      Si, sin la tiranía corporativa al estilo Apple, incentivas a cualquiera a crear algo y ganar dinero con recolección de datos y publicidad, ese es el resultado. Por eso las apps en repositorios libres y de código abierto como F-Droid, aunque tengan una UI/UX igual de variada, por lo general son mucho más limpias de usar.
  • Llevo años usando Aegis y no he encontrado nada que no me guste. Es una app perfectamente funcional, y me entusiasma probar la nueva actualización.

    • Por eso me asusté un poco al leer el título. Viendo las capturas, parece que estará bien.
      Últimamente me topé con dos apps open source cuyas grandes actualizaciones empeoraron mucho la UI/UX. Claro que a algunas personas quizá les gusten esos cambios, pero una fue Gajim, el mensajero XMPP de escritorio, y la otra fue Breathly, la app móvil de guía de respiración.
    • Totalmente de acuerdo. Es prácticamente la única app que he usado que podría considerar impecable.
  • Actualmente uso 2FAS con satisfacción, pero me pregunto cómo se compara con Aegis.
    Buscando un poco, parece que Aegis no soporta múltiples dispositivos y tampoco se puede usar en escritorio.
    https://2fas.com/

    • Sería bueno que agregaran una app de escritorio. Paso más tiempo frente a esa pantalla que frente al teléfono.
      Tampoco soy de llevar siempre el teléfono encima.