Android के लिए मुफ़्त और सुरक्षित open source 2FA ऐप, Aegis v3.0
(github.com/beemdevelopment)- Material 3 और Material You लागू होने से ऐप स्क्रीन का डिज़ाइन बदला गया
- आइटम्स के लिए icon auto-assignment फीचर जोड़ा गया, और सभी आइटम्स को एक साथ चुनने की सुविधा जोड़ी गई
- 2FAS schema v4 backup import का समर्थन
- आख़िरी उपयोग समय के आधार पर आइटम्स को sort करने की सुविधा जोड़ी गई
- बहुत सारे icons वाली आइटम सूची को scroll करते समय performance improvement
- root का उपयोग करके Authy direct import विफल होने की समस्या ठीक की गई
- animation duration scale setting से जुड़ी मामूली display समस्या ठीक की गई, और कई stability improvements लागू किए गए
1 टिप्पणियां
Hacker News की रायें
मुझे Aegis वाकई बहुत पसंद है, और मैं इसे अपने फ़ोन के सबसे अहम apps में से एक मानता हूँ
अगर आप Android पर Aegis इस्तेमाल करते हैं और GNOME-based Linux distribution चलाते हैं, तो Gnome Authenticator को साथ में इस्तेमाल करने की मैं जोरदार सलाह दूँगा
flatpak install flathub com.belmoussaoui.AuthenticatorGnome Authenticator अभी शुरुआती अवस्था में है, इसलिए इसमें कुछ bugs हैं, और tokens ज़्यादा हों तो मुख्यतः performance की समस्याएँ आती हैं, लेकिन यह Aegis format और कुछ दूसरे formats import और export कर सकता है
seeds को फ़ोन, laptop और desktop — तीनों पर रखना सच में बहुत सुविधाजनक है
https://gitlab.gnome.org/World/Authenticator
https://flathub.org/apps/com.belmoussaoui.Authenticator
उम्मीद है किसी दिन Gnome Authenticator GNOME के हिस्से के रूप में ship होगा, लेकिन अभी ऐसा नहीं है
Gnome Builder के साथ source से build करके चलाना भी बहुत आसान है। Builder खोलें, GitLab से source clone करें और “Build” button दबाएँ, बाकी यह खुद कर देता है
https://wiki.gnome.org/Newcomers/BuildProject
लेकिन अब तक मैंने उस सुविधा के प्रलोभन का विरोध किया है, और TOTP seeds को Bitwarden या 1Password में डालने से भी बचा हूँ। वजह यह है कि जो चीज़ अभी साफ़ तौर पर 2, शायद 3 authentication factors थी, वह 2 या कभी-कभी 1 तक घटती हुई लगती है
मुझे अजीब configurations पसंद हैं, इसलिए शायद WSL2 पर Gnome Authenticator चलाकर देखूँगा
Bitwarden और KeePassXC भी password management के साथ-साथ मुफ़्त और सुरक्षित open source two-factor authentication देते हैं
मैं TOTP secret keys को passwords से अलग, एक अलग vault में store करके manage करता हूँ। मुझे ठीक से समझ नहीं आता कि कुछ और क्यों इस्तेमाल करना चाहिए, और अच्छा होगा अगर कोई वजह बताए
हमारी company Active Directory इस्तेमाल करती है, इसलिए एक ही account से कई sites में access मिलता है, लेकिन हर site का TOTP अलग है। Bitwarden में सिर्फ़ एक store कर सकता हूँ, इसलिए बाकी को सामान्य authentication app में रखना पड़ता है। सिर्फ़ TOTP के लिए Bitwarden में duplicate accounts बनाना नहीं चाहता
मैं लंबे समय से काम कर रहा developer हूँ, लेकिन इस post पर comment करने वाले किस्म के developers की तुलना में शायद ज़्यादा “आम आदमी” के करीब हूँ। सच कहूँ तो ऐसी चीज़ें सचमुच बहुत, बहुत, बहुत उलझाऊ हैं
मुझे इनसे निपटना पसंद नहीं है, और जिस वजह से मैं email में PGP इस्तेमाल नहीं करता, उसी वजह से अपनी मर्ज़ी से यह सब नहीं करता। बस एक सामान्य व्यक्ति की तरह web Gmail इस्तेमाल करता हूँ
फिर भी दो services में मजबूरी में two-factor authentication इस्तेमाल कर रहा हूँ, और Android फ़ोन में Google Authenticator set up किया हुआ है। दोनों services की onboarding explanations बेहद खराब थीं, लेकिन किसी तरह connect हो गया, और अब अनिच्छा से उसी तरीके से login करता हूँ
यह लेख पढ़ते हुए अचानक लगा कि अगर फ़ोन खो गया तो क्या उन अहम services की access भी खो दूँगा। कम से कम Authenticator app में हरा “codes Google account में save हो रहे हैं” वाला cloud icon दिखता है, इसलिए थोड़ी तसल्ली हुई
Online security लगातार ज़्यादा अहम होती जा रही है, लेकिन यह पूरी तरह दलदल है, और tech दुनिया के किसी गूढ़ कोने को सब जानने वाला व्यक्ति भी इसे ठीक से न समझ पाए। बस ज़्यादातर लोग शायद मेरी तरह यह मानेंगे नहीं
सचमुच आम लोग, जैसे मेरी पत्नी, details समझकर best practices तक रास्ता खोज लें — इसकी संभावना बहुत कम है। उम्मीद है Google या Apple इस पर हार नहीं मानेंगे या पूरी तरह बुरे नहीं बनेंगे
मैं देखूँगा कि मेरी दो services recovery codes देती हैं या नहीं। अहम username/password combinations और recovery codes manage करना मेरे बस में है, और इस क्षेत्र में मैं आराम से जितना संभाल सकता हूँ, वह बस इतना ही है
ऐतिहासिक रूप से मेरी credentials चोरी होने की संभावना से ज़्यादा मेरा फ़ोन खो जाने की संभावना रही है, और credentials leak से मुझे और account रखने वाली company को होने वाले नुकसान की तुलना में access खोने से होने वाला denial of service ज़्यादा गंभीर है
employer या कुछ bank accounts के मामले में उल्टा होता है, लेकिन मैं अपने personal device को employer account से किसी भी तरह नहीं जोड़ता
अफ़सोस है कि industry security को एक ही axis पर देखती है और बस ज़्यादा सुरक्षित या कम सुरक्षित के रूप में सोचती है। personal accounts में account takeover की तुलना में access न कर पाना कई बार ज़्यादा गंभीर और आम होता है। कुछ मामलों में two-factor authentication मेरी security घटा देता है
मैं इसे Mozilla products जितना महत्वपूर्ण मानता हूँ। आगे security के कारण proof of personhood applications और ज़्यादा आएँगी
लेकिन recovery codes फिलहाल तो गायब नहीं होने वाले। हाँ, अगर AI-assisted developers को कुछ सालों में long-term memory का वरदान मिल जाए तो अलग बात है
मैं encrypted backup दो अलग-अलग जगहों पर रखता हूँ, इसलिए फ़ोन खराब भी हो जाए तो अपनी शर्तों पर two-factor authentication जारी रख सकता हूँ
यहां तक आ ही गए हैं, तो क्या किसी और को भी ऐसी बेवकूफी भरी स्थिति झेलनी पड़ती है जहाँ संगठन आपको अपना token generation tool रखने नहीं देते और Duo जैसी चीज़ जबरन इस्तेमाल करवाते हैं?
मेरे पास ऐसा सिर्फ एक ही मामला है, फिर भी झुंझलाहट होती है। लगता है rooted Android जैसी किसी चीज़ से इसे bypass किया जा सकता है, लेकिन खोजने या लड़ने का ज़्यादा समय नहीं था
यह पूरा replacement नहीं है, लेकिन मेरे लिए काफी है। Bitwarden को self-host भी किया जा सकता है
[0] Vaultwarden
उदाहरण के लिए, लोग इसे कहाँ store करते हैं या backup बनाते हैं, इस पर control नहीं किया जा सकता। इसलिए कंपनियाँ ऐसे solutions पसंद करती हैं, यह कुछ हद तक समझ आता है
मुझे लगता है Aegis को सच में और ज्यादा लोगों तक पहुँचना चाहिए। मैंने इसे एक पुराने फोन पर install किया था जिसमें Google Authenticator install करने के लिए storage कम था, और app से बहुत संतुष्ट रहा
इसका community project होना भी एक अच्छा bonus है
Aegis अच्छा है और इस्तेमाल करने में मजेदार है
उम्मीद है दूसरे लोग Microsoft Authenticator की तरह अपना authentication app बनाकर, बाकी apps को असुरक्षित बताते हुए Aegis जैसे authentication apps का इस्तेमाल रोकने का trend follow नहीं करेंगे
मुझे backup के तरीके को लेकर curiosity है
क्या user द्वारा तय password से protected encrypted backup जरूरत पड़ने पर बनाया जा सकता है? क्या ऐसा backup खोलने या पढ़ने के लिए desktop app है, या SQLite DB Browser जैसी किसी चीज़ से पढ़ा जा सकता है? क्या इसे इस तरह set किया जा सकता है कि हर बदलाव पर encrypted copy Dropbox जैसी जगह पर save हो जाए?
यह भी जानना चाहूँगा कि install Play Store से करना recommended है, या GitHub का APK बेहतर है
मांगने पर password-protected encrypted backup बनाया जा सकता है
decrypt करने पर वह बस सामान्य JSON होता है, इसलिए हमेशा पढ़ा जा सकता है। desktop पर मैं जो GNOME Circle app “Authenticator” इस्तेमाल करता हूँ, वह Aegis backup को native तरीके से import कर सकता है। दूसरे apps के बारे में ठीक से नहीं जानता
settings page देखने पर automatic backup और cloud backup से जुड़े features भी लगते हैं, लेकिन मैंने खुद इस्तेमाल नहीं किया
GitHub APK इस्तेमाल करने पर automatic updates खो देते हैं। मैं F-Droid इस्तेमाल करता हूँ
यह सच में अच्छा है कि ज्यादा से ज्यादा apps Material 3/You इस्तेमाल करना शुरू कर रहे हैं
Apple का UI design मेरी पसंद नहीं था, लेकिन Android के बिखरे-बिखरे UI की तुलना में ज्यादातर iOS apps के UI design की consistency मुझे पसंद है
हालांकि Android app design को लेकर मेरी मुख्य शिकायत शायद यह है कि बहुत-से apps Android Studio widget system जैसे drag-and-drop editor में पुराने Material UI को बस जैसे-तैसे चिपकाकर बनाई गई खराब implementations होते हैं
Apple जैसी corporate tyranny के बिना जब किसी को भी कुछ बनाने और data collection व ads से पैसा कमाने का incentive दिया जाता है, तो ऐसा ही परिणाम आता है। इसलिए F-Droid जैसे free और open-source repositories में मौजूद apps, UI/UX उतना ही diverse होने के बावजूद, आम तौर पर इस्तेमाल में कहीं ज्यादा साफ-सुथरे होते हैं
मैं कई सालों से Aegis इस्तेमाल कर रहा हूँ और इसमें नापसंद करने लायक कुछ नहीं मिला। यह पूरी तरह functional app है, और नया update आज़माने का इंतजार है
हाल ही में मैंने दो open-source apps देखे जिनके बड़े updates ने UI/UX को काफी खराब कर दिया। बेशक कुछ लोगों को वे बदलाव पसंद आ सकते हैं, लेकिन एक desktop का Gajim XMPP messenger था और दूसरा mobile का Breathly breathing guide app
फिलहाल मैं 2FAS से संतुष्ट हूँ, लेकिन सोच रहा हूँ कि Aegis से तुलना कैसी है
थोड़ा खोजने पर लगा कि Aegis multiple devices support नहीं करता और desktop पर भी इस्तेमाल नहीं किया जा सकता
https://2fas.com/
फोन भी हमेशा अपने साथ लेकर चलने वालों में से नहीं हूँ