5 पॉइंट द्वारा GN⁺ 2024-03-25 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Material 3 और Material You लागू होने से ऐप स्क्रीन का डिज़ाइन बदला गया
  • आइटम्स के लिए icon auto-assignment फीचर जोड़ा गया, और सभी आइटम्स को एक साथ चुनने की सुविधा जोड़ी गई
  • 2FAS schema v4 backup import का समर्थन
  • आख़िरी उपयोग समय के आधार पर आइटम्स को sort करने की सुविधा जोड़ी गई
  • बहुत सारे icons वाली आइटम सूची को scroll करते समय performance improvement
  • root का उपयोग करके Authy direct import विफल होने की समस्या ठीक की गई
  • animation duration scale setting से जुड़ी मामूली display समस्या ठीक की गई, और कई stability improvements लागू किए गए

1 टिप्पणियां

 
GN⁺ 2024-03-25
Hacker News की रायें
  • मुझे Aegis वाकई बहुत पसंद है, और मैं इसे अपने फ़ोन के सबसे अहम apps में से एक मानता हूँ
    अगर आप Android पर Aegis इस्तेमाल करते हैं और GNOME-based Linux distribution चलाते हैं, तो Gnome Authenticator को साथ में इस्तेमाल करने की मैं जोरदार सलाह दूँगा
    flatpak install flathub com.belmoussaoui.Authenticator
    Gnome Authenticator अभी शुरुआती अवस्था में है, इसलिए इसमें कुछ bugs हैं, और tokens ज़्यादा हों तो मुख्यतः performance की समस्याएँ आती हैं, लेकिन यह Aegis format और कुछ दूसरे formats import और export कर सकता है
    seeds को फ़ोन, laptop और desktop — तीनों पर रखना सच में बहुत सुविधाजनक है
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    उम्मीद है किसी दिन Gnome Authenticator GNOME के हिस्से के रूप में ship होगा, लेकिन अभी ऐसा नहीं है
    Gnome Builder के साथ source से build करके चलाना भी बहुत आसान है। Builder खोलें, GitLab से source clone करें और “Build” button दबाएँ, बाकी यह खुद कर देता है
    https://wiki.gnome.org/Newcomers/BuildProject

    • Authentication app को Flatpak के रूप में install करने का मेरा बिल्कुल भी इरादा नहीं है
    • iOS पर मैं जो tool इस्तेमाल करता हूँ, OTP auth, उससे भी यही किया जा सकता है। इसे iCloud में sync किया जा सकता है, और ciphertext के रूप में encrypted होने के कारण macOS पर भी इस्तेमाल किया जा सकता है
      लेकिन अब तक मैंने उस सुविधा के प्रलोभन का विरोध किया है, और TOTP seeds को Bitwarden या 1Password में डालने से भी बचा हूँ। वजह यह है कि जो चीज़ अभी साफ़ तौर पर 2, शायद 3 authentication factors थी, वह 2 या कभी-कभी 1 तक घटती हुई लगती है
    • Authy ने desktop version बंद करने का फैसला किया है, इसलिए मैं विकल्प ढूँढ रहा था; यह combination अच्छा विकल्प लगता है
      मुझे अजीब configurations पसंद हैं, इसलिए शायद WSL2 पर Gnome Authenticator चलाकर देखूँगा
    • बस KeePass database इस्तेमाल करें, तो आप किसी खास operating system से बंधे नहीं रहेंगे। KeePassXC, Keepass2Android वगैरह इस्तेमाल करें और अपनी पसंद के तरीके से sync कर लें
    • जिज्ञासा है कि KeePass क्यों नहीं इस्तेमाल करते
  • Bitwarden और KeePassXC भी password management के साथ-साथ मुफ़्त और सुरक्षित open source two-factor authentication देते हैं
    मैं TOTP secret keys को passwords से अलग, एक अलग vault में store करके manage करता हूँ। मुझे ठीक से समझ नहीं आता कि कुछ और क्यों इस्तेमाल करना चाहिए, और अच्छा होगा अगर कोई वजह बताए

    • ऐसा करने पर two-factor authentication घटकर one-factor authentication बन जाता है। क्योंकि ownership factor अब बचता ही नहीं
    • Bitwarden में two-factor authentication TOTP इस्तेमाल करते समय सबसे बड़ी कमी यह है कि एक password में सिर्फ़ एक TOTP जोड़ा जा सकता है
      हमारी company Active Directory इस्तेमाल करती है, इसलिए एक ही account से कई sites में access मिलता है, लेकिन हर site का TOTP अलग है। Bitwarden में सिर्फ़ एक store कर सकता हूँ, इसलिए बाकी को सामान्य authentication app में रखना पड़ता है। सिर्फ़ TOTP के लिए Bitwarden में duplicate accounts बनाना नहीं चाहता
    • Bitwarden 2FA मुफ़्त नहीं है
  • मैं लंबे समय से काम कर रहा developer हूँ, लेकिन इस post पर comment करने वाले किस्म के developers की तुलना में शायद ज़्यादा “आम आदमी” के करीब हूँ। सच कहूँ तो ऐसी चीज़ें सचमुच बहुत, बहुत, बहुत उलझाऊ हैं
    मुझे इनसे निपटना पसंद नहीं है, और जिस वजह से मैं email में PGP इस्तेमाल नहीं करता, उसी वजह से अपनी मर्ज़ी से यह सब नहीं करता। बस एक सामान्य व्यक्ति की तरह web Gmail इस्तेमाल करता हूँ
    फिर भी दो services में मजबूरी में two-factor authentication इस्तेमाल कर रहा हूँ, और Android फ़ोन में Google Authenticator set up किया हुआ है। दोनों services की onboarding explanations बेहद खराब थीं, लेकिन किसी तरह connect हो गया, और अब अनिच्छा से उसी तरीके से login करता हूँ
    यह लेख पढ़ते हुए अचानक लगा कि अगर फ़ोन खो गया तो क्या उन अहम services की access भी खो दूँगा। कम से कम Authenticator app में हरा “codes Google account में save हो रहे हैं” वाला cloud icon दिखता है, इसलिए थोड़ी तसल्ली हुई
    Online security लगातार ज़्यादा अहम होती जा रही है, लेकिन यह पूरी तरह दलदल है, और tech दुनिया के किसी गूढ़ कोने को सब जानने वाला व्यक्ति भी इसे ठीक से न समझ पाए। बस ज़्यादातर लोग शायद मेरी तरह यह मानेंगे नहीं
    सचमुच आम लोग, जैसे मेरी पत्नी, details समझकर best practices तक रास्ता खोज लें — इसकी संभावना बहुत कम है। उम्मीद है Google या Apple इस पर हार नहीं मानेंगे या पूरी तरह बुरे नहीं बनेंगे
    मैं देखूँगा कि मेरी दो services recovery codes देती हैं या नहीं। अहम username/password combinations और recovery codes manage करना मेरे बस में है, और इस क्षेत्र में मैं आराम से जितना संभाल सकता हूँ, वह बस इतना ही है

    • मेरे निजी threat model में ज़्यादातर two-factor authentication flows उल्टा security घटा देते हैं
      ऐतिहासिक रूप से मेरी credentials चोरी होने की संभावना से ज़्यादा मेरा फ़ोन खो जाने की संभावना रही है, और credentials leak से मुझे और account रखने वाली company को होने वाले नुकसान की तुलना में access खोने से होने वाला denial of service ज़्यादा गंभीर है
      employer या कुछ bank accounts के मामले में उल्टा होता है, लेकिन मैं अपने personal device को employer account से किसी भी तरह नहीं जोड़ता
      अफ़सोस है कि industry security को एक ही axis पर देखती है और बस ज़्यादा सुरक्षित या कम सुरक्षित के रूप में सोचती है। personal accounts में account takeover की तुलना में access न कर पाना कई बार ज़्यादा गंभीर और आम होता है। कुछ मामलों में two-factor authentication मेरी security घटा देता है
    • मौजूदा technology की स्थिति सच में डरावनी लगती है। यह two-factor authentication किसी चमत्कार जैसा है। मुफ़्त है और Big Tech से स्वतंत्र है
      मैं इसे Mozilla products जितना महत्वपूर्ण मानता हूँ। आगे security के कारण proof of personhood applications और ज़्यादा आएँगी
      लेकिन recovery codes फिलहाल तो गायब नहीं होने वाले। हाँ, अगर AI-assisted developers को कुछ सालों में long-term memory का वरदान मिल जाए तो अलग बात है
    • असली सवाल यह है कि फ़ोन खो जाने पर क्या आप अपने Google account तक पहुँच सकते हैं। वह account आपका नहीं, Google का है
    • इसी वजह से मैंने Aegis इस्तेमाल करना शुरू किया और इस पर बहुत भरोसा करता हूँ। Backup feature की वजह से
      मैं encrypted backup दो अलग-अलग जगहों पर रखता हूँ, इसलिए फ़ोन खराब भी हो जाए तो अपनी शर्तों पर two-factor authentication जारी रख सकता हूँ
  • यहां तक आ ही गए हैं, तो क्या किसी और को भी ऐसी बेवकूफी भरी स्थिति झेलनी पड़ती है जहाँ संगठन आपको अपना token generation tool रखने नहीं देते और Duo जैसी चीज़ जबरन इस्तेमाल करवाते हैं?
    मेरे पास ऐसा सिर्फ एक ही मामला है, फिर भी झुंझलाहट होती है। लगता है rooted Android जैसी किसी चीज़ से इसे bypass किया जा सकता है, लेकिन खोजने या लड़ने का ज़्यादा समय नहीं था

    • Duo physical security key इस्तेमाल करने देता है। मैं उसे Bitwarden में passkey के तौर पर सेव करके इस्तेमाल करता हूँ
      यह पूरा replacement नहीं है, लेकिन मेरे लिए काफी है। Bitwarden को self-host भी किया जा सकता है
      [0] Vaultwarden
    • rooted device हो तो Aegis खुशी-खुशी Duo का secret value खींच सकता है
    • TOTP मूल रूप से इन proprietary solutions से कम सुरक्षित है
      उदाहरण के लिए, लोग इसे कहाँ store करते हैं या backup बनाते हैं, इस पर control नहीं किया जा सकता। इसलिए कंपनियाँ ऐसे solutions पसंद करती हैं, यह कुछ हद तक समझ आता है
  • मुझे लगता है Aegis को सच में और ज्यादा लोगों तक पहुँचना चाहिए। मैंने इसे एक पुराने फोन पर install किया था जिसमें Google Authenticator install करने के लिए storage कम था, और app से बहुत संतुष्ट रहा
    इसका community project होना भी एक अच्छा bonus है

    • यह bonus से भी ज्यादा है। इसी तरह के projects पर भरोसा किया जा सकता है कि वे कल, परसों या एक साल बाद profit motive या scheduled IPO की वजह से user experience को पूरी तरह खराब करके users से ज्यादा से ज्यादा पैसे नहीं निचोड़ेंगे
  • Aegis अच्छा है और इस्तेमाल करने में मजेदार है
    उम्मीद है दूसरे लोग Microsoft Authenticator की तरह अपना authentication app बनाकर, बाकी apps को असुरक्षित बताते हुए Aegis जैसे authentication apps का इस्तेमाल रोकने का trend follow नहीं करेंगे

  • मुझे backup के तरीके को लेकर curiosity है
    क्या user द्वारा तय password से protected encrypted backup जरूरत पड़ने पर बनाया जा सकता है? क्या ऐसा backup खोलने या पढ़ने के लिए desktop app है, या SQLite DB Browser जैसी किसी चीज़ से पढ़ा जा सकता है? क्या इसे इस तरह set किया जा सकता है कि हर बदलाव पर encrypted copy Dropbox जैसी जगह पर save हो जाए?
    यह भी जानना चाहूँगा कि install Play Store से करना recommended है, या GitHub का APK बेहतर है

    • मैं Aegis को two-factor authentication के लिए main app के तौर पर इस्तेमाल करता हूँ, इसलिए जवाब दे सकता हूँ
      मांगने पर password-protected encrypted backup बनाया जा सकता है
      decrypt करने पर वह बस सामान्य JSON होता है, इसलिए हमेशा पढ़ा जा सकता है। desktop पर मैं जो GNOME Circle app “Authenticator” इस्तेमाल करता हूँ, वह Aegis backup को native तरीके से import कर सकता है। दूसरे apps के बारे में ठीक से नहीं जानता
      settings page देखने पर automatic backup और cloud backup से जुड़े features भी लगते हैं, लेकिन मैंने खुद इस्तेमाल नहीं किया
      GitHub APK इस्तेमाल करने पर automatic updates खो देते हैं। मैं F-Droid इस्तेमाल करता हूँ
  • यह सच में अच्छा है कि ज्यादा से ज्यादा apps Material 3/You इस्तेमाल करना शुरू कर रहे हैं
    Apple का UI design मेरी पसंद नहीं था, लेकिन Android के बिखरे-बिखरे UI की तुलना में ज्यादातर iOS apps के UI design की consistency मुझे पसंद है

    • मैं किसी भी दिन iOS के ज्यादा polished लेकिन कड़े तौर पर निर्धारित experience के बजाय Android का ज्यादा विविध UI experience चुनूँगा
      हालांकि Android app design को लेकर मेरी मुख्य शिकायत शायद यह है कि बहुत-से apps Android Studio widget system जैसे drag-and-drop editor में पुराने Material UI को बस जैसे-तैसे चिपकाकर बनाई गई खराब implementations होते हैं
      Apple जैसी corporate tyranny के बिना जब किसी को भी कुछ बनाने और data collection व ads से पैसा कमाने का incentive दिया जाता है, तो ऐसा ही परिणाम आता है। इसलिए F-Droid जैसे free और open-source repositories में मौजूद apps, UI/UX उतना ही diverse होने के बावजूद, आम तौर पर इस्तेमाल में कहीं ज्यादा साफ-सुथरे होते हैं
  • मैं कई सालों से Aegis इस्तेमाल कर रहा हूँ और इसमें नापसंद करने लायक कुछ नहीं मिला। यह पूरी तरह functional app है, और नया update आज़माने का इंतजार है

    • इसलिए title पढ़कर मैं थोड़ा डर गया था। screenshots देखकर लगता है ठीक रहेगा
      हाल ही में मैंने दो open-source apps देखे जिनके बड़े updates ने UI/UX को काफी खराब कर दिया। बेशक कुछ लोगों को वे बदलाव पसंद आ सकते हैं, लेकिन एक desktop का Gajim XMPP messenger था और दूसरा mobile का Breathly breathing guide app
    • पूरी तरह सहमत। मैंने जितने apps इस्तेमाल किए हैं, उनमें यह लगभग इकलौता app है जिसे बेदाग कहा जा सकता है
  • फिलहाल मैं 2FAS से संतुष्ट हूँ, लेकिन सोच रहा हूँ कि Aegis से तुलना कैसी है
    थोड़ा खोजने पर लगा कि Aegis multiple devices support नहीं करता और desktop पर भी इस्तेमाल नहीं किया जा सकता
    https://2fas.com/

    • अगर desktop app जोड़ दें तो अच्छा होगा। मैं फोन से ज्यादा समय उस screen के सामने बिताता हूँ
      फोन भी हमेशा अपने साथ लेकर चलने वालों में से नहीं हूँ