Aegis v3.0, app 2FA gratuita, segura y de código abierto para Android
(github.com/beemdevelopment)- Cambio en el diseño de la interfaz de la app con la adopción de Material 3 y Material You
- Se agregó la función de asignación automática de íconos a las entradas, y la función para seleccionar todas las entradas de una sola vez
- Soporte para importar copias de seguridad de 2FAS schema v4
- Se agregó la función para ordenar las entradas según la hora de último uso
- Mejoras de rendimiento al desplazarse por listas de entradas con muchos íconos
- Se corrigió un problema por el que fallaba la importación directa desde Authy usando root
- Se corrigieron problemas menores de visualización relacionados con la configuración de escala de duración de animaciones, y se aplicaron varias mejoras de estabilidad
1 comentarios
Opiniones de Hacker News
Me gusta muchísimo Aegis y lo considero una de las apps más importantes de mi teléfono
Si usas Aegis en Android y una distribución de Linux basada en GNOME, recomiendo mucho usarlo junto con Gnome Authenticator
flatpak install flathub com.belmoussaoui.AuthenticatorGnome Authenticator todavía está en una etapa temprana, así que tiene algunos bugs y, si tienes muchos tokens, sobre todo problemas de rendimiento, pero puede importar y exportar el formato de Aegis y algunos otros formatos
Es realmente cómodo tener las semillas en el teléfono, la laptop y la computadora de escritorio
https://gitlab.gnome.org/World/Authenticator
https://flathub.org/apps/com.belmoussaoui.Authenticator
Espero que algún día Gnome Authenticator se distribuya como parte de GNOME, pero todavía no
También es muy fácil compilarlo y ejecutarlo desde el código fuente con Gnome Builder. Abres Builder, clonas el código fuente desde GitLab y presionas el botón “Build”; se encarga de todo
https://wiki.gnome.org/Newcomers/BuildProject
Pero hasta ahora he resistido la tentación de esa comodidad, y también he evitado poner las semillas TOTP en Bitwarden o 1Password. Porque se siente mucho como si algo que claramente eran 2 factores, quizá 3, se redujera a 2 o a veces a 1
Como me gustan las configuraciones raras, probablemente pruebe usar Gnome Authenticator sobre WSL2
Bitwarden y KeePassXC también ofrecen autenticación de dos factores gratuita, segura y de código abierto, además de la gestión de contraseñas
Manejo las claves secretas TOTP guardándolas en una bóveda separada de las contraseñas. No tengo muy claro por qué debería usar otra cosa, y me gustaría que alguien me diera una razón
En mi empresa usamos Active Directory para acceder a varios sitios con la misma cuenta, pero el TOTP de cada sitio es distinto. En Bitwarden solo puedo guardar uno, así que los demás tienen que ir en una app de autenticación normal. No quiero crear cuentas duplicadas en Bitwarden solo para TOTP
Soy un desarrollador con muchos años de experiencia, pero estoy más cerca de una “persona común” que del tipo de desarrollador que comenta en este artículo. Sinceramente, estas cosas son realmente, realmente, realmente confusas
No me gusta lidiar con esto y no lo hago voluntariamente, por la misma razón por la que no uso PGP en el correo. Simplemente uso Gmail web como una persona normal
Aun así, en dos servicios no me quedó otra que usar autenticación de dos factores, y configuré Google Authenticator en mi teléfono Android. En ambos servicios, las explicaciones de onboarding fueron pésimas, pero de todos modos quedó conectado, y ahora inicio sesión de esa forma a regañadientes
Mientras leía esto, de pronto pensé: si pierdo mi teléfono, ¿también pierdo el acceso a esos servicios importantes? Al menos, al ver la app Authenticator, aparece un ícono verde de nube que dice “los códigos se están guardando en tu cuenta de Google”, lo cual me tranquiliza un poco
La seguridad en línea es cada vez más importante, pero es un pantano total, y alguien que conoce todos los rincones oscuros del mundo técnico aun así puede no entender bien esto. Solo que creo que la mayoría no lo admitiría como yo
Una persona realmente común, por ejemplo alguien como mi esposa, casi no tiene posibilidades de entender los detalles y encontrar el camino hacia las mejores prácticas. Espero que Google o Apple no abandonen esto ni se vuelvan completamente malvados
Pienso revisar si mis dos servicios ofrecen códigos de recuperación. Me siento capaz de manejar combinaciones importantes de usuario/contraseña y códigos de recuperación, y ese es más o menos el nivel que puedo asumir cómodamente en este terreno
Históricamente, ha sido más probable que pierda el teléfono a que me roben mis credenciales, y la denegación de servicio por perder el acceso es más grave que el daño que un robo de credenciales nos causaría a mí y a la empresa que gestiona la cuenta
Con mi empleador o con algunas cuentas bancarias ocurre lo contrario, pero no conecto mis dispositivos personales con cuentas del empleador de ninguna forma
Me frustra que la industria vea la seguridad como un solo eje y piense únicamente en términos de más seguro o menos seguro. En las cuentas personales, la imposibilidad de acceso muchas veces es más grave y común que el secuestro de la cuenta. En algunos casos, la autenticación de dos factores reduce mi seguridad
La considero tan importante como los productos de Mozilla. En el futuro, por seguridad, veremos más aplicaciones de prueba de personalidad
Pero no creo que los códigos de recuperación vayan a desaparecer pronto. Claro, quizá sea distinto si en unos años los desarrolladores asistidos por IA reciben el regalo de la memoria a largo plazo
Como hago respaldos cifrados en dos ubicaciones distintas, aunque mi teléfono explote puedo seguir usando la autenticación de dos factores bajo mis propias condiciones
Ya que llegamos hasta acá, ¿alguien más ha pasado por la situación tonta de que en su organización no le permitan tener una herramienta propia para generar tokens y lo obliguen a usar algo como Duo?
A mí me pasa con una sola y aun así es frustrante. Supongo que se podría sortear con algo como un Android rooteado, pero no tuve mucho tiempo para investigar ni para pelearlo.
No es un reemplazo perfecto, pero para mí alcanza. Bitwarden también se puede autoalojar.
[0] Vaultwarden
Por ejemplo, porque no se puede controlar dónde lo guarda la gente ni si hace respaldos. Por eso hasta cierto punto se entiende que las empresas prefieran esas soluciones.
Creo que Aegis realmente debería ser mucho más conocido. Lo instalé en un teléfono viejo que no tenía suficiente almacenamiento para instalar Google Authenticator, y la app me dejó muy satisfecho.
Que sea un proyecto comunitario también es un gran plus.
Aegis es bueno y da gusto usarlo.
Espero que otros no sigan la tendencia de crear su propia app de autenticación, como Microsoft Authenticator, y luego impedir el uso de apps de autenticación como Aegis diciendo que las demás no son seguras.
Me da curiosidad cómo funcionan los respaldos.
¿Se puede crear cuando sea necesario un respaldo cifrado protegido con una contraseña definida por el usuario? ¿Hay una app de escritorio que pueda abrir o leer ese respaldo, o se puede leer con algo como SQLite DB Browser? ¿Se puede configurar para que, cada vez que haya cambios, guarde una copia cifrada en algún lugar como Dropbox?
También me pregunto si lo recomendable es instalarla desde Play Store o si es mejor el APK de GitHub.
Sí se pueden hacer respaldos cifrados protegidos con contraseña bajo demanda.
Al descifrarlos son simplemente JSON normal, así que siempre se pueden leer. La app de GNOME Circle que uso en el escritorio, “Authenticator”, puede importar respaldos de Aegis de forma nativa. No sé bien sobre otras apps.
Al mirar la página de configuración, parece que también hay funciones relacionadas con respaldos automáticos y respaldos en la nube, pero no las he usado personalmente.
Si usas el APK de GitHub, pierdes las actualizaciones automáticas. Yo uso F-Droid.
Me alegra mucho que cada vez más apps empiecen a usar Material 3/You.
El diseño de UI de Apple nunca fue de mi gusto, pero comparado con las interfaces tan disparejas de Android, sí me gusta la consistencia del diseño de UI en la mayoría de las apps de iOS.
Dicho eso, creo que mi principal queja sobre el diseño de apps en Android es que muchas son implementaciones mediocres hechas pegando a la ligera la antigua Material UI en algún editor de arrastrar y soltar, como el sistema de widgets de Android Studio.
Si, sin la tiranía corporativa al estilo Apple, incentivas a cualquiera a crear algo y ganar dinero con recolección de datos y publicidad, ese es el resultado. Por eso las apps en repositorios libres y de código abierto como F-Droid, aunque tengan una UI/UX igual de variada, por lo general son mucho más limpias de usar.
Llevo años usando Aegis y no he encontrado nada que no me guste. Es una app perfectamente funcional, y me entusiasma probar la nueva actualización.
Últimamente me topé con dos apps open source cuyas grandes actualizaciones empeoraron mucho la UI/UX. Claro que a algunas personas quizá les gusten esos cambios, pero una fue Gajim, el mensajero XMPP de escritorio, y la otra fue Breathly, la app móvil de guía de respiración.
Actualmente uso 2FAS con satisfacción, pero me pregunto cómo se compara con Aegis.
Buscando un poco, parece que Aegis no soporta múltiples dispositivos y tampoco se puede usar en escritorio.
https://2fas.com/
Tampoco soy de llevar siempre el teléfono encima.