Aegis v3.0 แอป 2FA โอเพนซอร์สฟรีและปลอดภัยสำหรับ Android
(github.com/beemdevelopment)- ปรับดีไซน์หน้าจอแอปด้วยการนำ Material 3 และ Material You มาใช้
- เพิ่มฟีเจอร์ กำหนดไอคอนอัตโนมัติ ให้กับรายการ และเพิ่มฟีเจอร์เลือกทุกรายการพร้อมกัน
- รองรับการนำเข้าแบ็กอัป 2FAS schema v4
- เพิ่มฟีเจอร์จัดเรียงรายการตามเวลาที่ใช้งานล่าสุด
- ปรับปรุงประสิทธิภาพ เมื่อต้องเลื่อนดูรายการที่มีไอคอนจำนวนมาก
- แก้ไขปัญหาความล้มเหลวของการ นำเข้า Authy โดยตรง ด้วย root
- แก้ไขปัญหาการแสดงผลเล็กน้อยที่เกี่ยวข้องกับการตั้งค่าอัตราส่วนระยะเวลาของแอนิเมชัน และปรับปรุงเสถียรภาพหลายจุด
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ชอบ Aegis มากจริง ๆ และมองว่าเป็นหนึ่งในแอปที่สำคัญที่สุดบนโทรศัพท์ของผม
ถ้าใช้ Aegis บน Android และใช้ดิสโทร Linux ที่อิง GNOME ขอแนะนำอย่างยิ่งให้ใช้ Gnome Authenticator ควบคู่กัน
flatpak install flathub com.belmoussaoui.AuthenticatorGnome Authenticator ยังอยู่ในช่วงแรก ๆ เลยมีบั๊กอยู่บ้าง และถ้ามีโทเค็นเยอะก็มักมีปัญหาด้านประสิทธิภาพ แต่สามารถนำเข้าและส่งออกฟอร์แมตของ Aegis รวมถึงฟอร์แมตอื่น ๆ ได้บางส่วน
การมี seed อยู่ทั้งบนโทรศัพท์ แล็ปท็อป และเดสก์ท็อปนั้นสะดวกมากจริง ๆ
https://gitlab.gnome.org/World/Authenticator
https://flathub.org/apps/com.belmoussaoui.Authenticator
หวังว่าสักวัน Gnome Authenticator จะถูกแจกจ่ายเป็นส่วนหนึ่งของ GNOME แต่ตอนนี้ยังไม่ใช่
การ build จากซอร์สและรันด้วย Gnome Builder ก็ง่ายมาก เปิด Builder แล้ว clone ซอร์สจาก GitLab จากนั้นกดปุ่ม “Build” ระบบก็จัดการต่อเอง
https://wiki.gnome.org/Newcomers/BuildProject
แต่จนถึงตอนนี้ผมยังต้านทานความสะดวกนั้นไว้ได้ และหลีกเลี่ยงการใส่ TOTP seed ลงใน Bitwarden หรือ 1Password ด้วย เพราะรู้สึกชัดมากว่าสิ่งที่เคยเป็นปัจจัยยืนยันตัวตน 2 อย่าง หรืออาจจะ 3 อย่าง กลายเป็นเหลือ 2 อย่าง หรือบางครั้งเหลือแค่อย่างเดียว
ผมชอบคอนฟิกแปลก ๆ อยู่แล้ว เลยน่าจะลองใช้ Gnome Authenticator บน WSL2 ดู
Bitwarden และ KeePassXC ก็ให้บริการ การยืนยันตัวตนสองขั้นตอน แบบโอเพนซอร์สที่ฟรีและปลอดภัย นอกเหนือจากการจัดการรหัสผ่าน
ผมจัดการ TOTP secret key โดยเก็บแยกจากรหัสผ่านไว้ใน vault อีกอันหนึ่ง ไม่ค่อยเข้าใจว่าทำไมต้องใช้อย่างอื่น และอยากให้ใครสักคนบอกเหตุผล
ที่บริษัทเราใช้ Active Directory ทำให้ใช้บัญชีเดียวกันเข้าหลายไซต์ แต่ TOTP ของแต่ละไซต์ไม่เหมือนกัน ใน Bitwarden เก็บได้แค่รายการเดียว ที่เหลือจึงต้องใส่ไว้ในแอปยืนยันตัวตนทั่วไป ผมไม่อยากสร้างบัญชีซ้ำใน Bitwarden เพียงเพื่อ TOTP
เป็นนักพัฒนาที่ทำงานมานาน แต่ผมน่าจะใกล้เคียง “คนทั่วไป” มากกว่านักพัฒนาประเภทที่จะมาคอมเมนต์ในบทความนี้ พูดตรง ๆ เรื่องแบบนี้มันชวนสับสนมาก ๆ ๆ
ผมไม่ชอบจัดการเรื่องพวกนี้ และจะไม่ทำโดยสมัครใจด้วยเหตุผลเดียวกับที่ไม่ใช้ PGP กับอีเมล แค่ใช้ Gmail บนเว็บเหมือนคนธรรมดา
ถึงอย่างนั้นก็มีสองบริการที่เลี่ยงไม่ได้ ต้องใช้การยืนยันตัวตนสองขั้นตอน และตั้งค่า Google Authenticator ไว้บนโทรศัพท์ Android แล้ว คำอธิบายช่วง onboarding ของทั้งสองบริการแย่มาก แต่ก็เชื่อมต่อได้ในที่สุด และตอนนี้ก็ล็อกอินด้วยวิธีนั้นอย่างจำใจ
ระหว่างอ่านบทความนี้ จู่ ๆ ก็คิดขึ้นมาว่า ถ้าทำโทรศัพท์หาย ผมจะเสียสิทธิ์เข้าถึงบริการสำคัญเหล่านั้นไปด้วยหรือเปล่า อย่างน้อยพอดูแอป Authenticator ก็เห็นไอคอนรูปเมฆสีเขียวที่บอกว่า “โค้ดถูกบันทึกไว้ในบัญชี Google” เลยค่อยโล่งใจขึ้นบ้าง
ความปลอดภัยออนไลน์สำคัญขึ้นเรื่อย ๆ แต่ก็เหมือนบึงดูด และแม้แต่คนที่รู้ทุกซอกมุมลึกลับบางแห่งของโลกเทคโนโลยีก็อาจไม่เข้าใจเรื่องนี้อย่างถูกต้อง เพียงแต่คนส่วนใหญ่คงไม่ยอมรับเหมือนผม
คนทั่วไปจริง ๆ เช่นภรรยาของผม แทบไม่มีทางทำความเข้าใจรายละเอียดและหาทางไปสู่แนวปฏิบัติที่ดีที่สุดได้เลย หวังว่า Google หรือ Apple จะไม่ถอดใจหรือกลายเป็นฝ่ายร้ายไปเสียก่อน
ผมตั้งใจจะตรวจดูว่าสองบริการของผมมี รหัสกู้คืน ให้หรือไม่ การจัดการชุดชื่อผู้ใช้/รหัสผ่านสำคัญ ๆ กับรหัสกู้คืนเป็นสิ่งที่ผมมั่นใจว่าทำได้ และในด้านนี้ก็คงเป็นระดับที่ผมรับมือได้อย่างสบายใจ
จากประสบการณ์ที่ผ่านมา โอกาสที่ผมจะทำโทรศัพท์หายสูงกว่าโอกาสที่ข้อมูลรับรองของผมจะถูกขโมย และการถูกปฏิเสธการให้บริการจากการเสียสิทธิ์เข้าถึงนั้นร้ายแรงกว่าความเสียหายที่ผมกับบริษัทเจ้าของบัญชีจะได้รับจากข้อมูลรับรองรั่วไหล
สำหรับนายจ้างหรือบัญชีธนาคารบางส่วน สถานการณ์จะกลับกัน แต่ผมไม่เชื่อมโยงอุปกรณ์ส่วนตัวกับบัญชีนายจ้างไม่ว่าทางใด
น่าเสียดายที่อุตสาหกรรมมองความปลอดภัยเป็นแกนเดียว แล้วคิดแค่ว่าปลอดภัยกว่าหรือปลอดภัยน้อยกว่า ในบัญชีส่วนตัว การเข้าไม่ได้ มักร้ายแรงและพบได้บ่อยกว่าการถูกยึดบัญชี ในบางกรณี การยืนยันตัวตนสองขั้นตอนทำให้ความปลอดภัยของผมลดลง
ผมมองว่าสำคัญในระดับเดียวกับผลิตภัณฑ์ของ Mozilla ต่อไปจะมีแอปพลิเคชัน พิสูจน์ความเป็นบุคคล ออกมามากขึ้นเพราะเรื่องความปลอดภัย
แต่รหัสกู้คืนน่าจะยังไม่หายไปในเร็ว ๆ นี้ แน่นอนว่าอาจต่างออกไปถ้านักพัฒนาที่มี AI ช่วยได้รับของขวัญเป็นหน่วยความจำระยะยาวในอีกไม่กี่ปีข้างหน้า
ผมสำรองข้อมูลแบบเข้ารหัสไว้ในสองตำแหน่งที่ต่างกัน ดังนั้นต่อให้โทรศัพท์พัง ผมก็ยังใช้การยืนยันตัวตนสองขั้นตอนต่อได้ตามเงื่อนไขของตัวเอง
มาถึงตรงนี้แล้ว มีใครเจอสถานการณ์งี่เง่าที่องค์กรไม่ยอมให้มีเครื่องมือสร้างโทเค็นเอง แล้วบังคับให้ใช้ของอย่าง Duo ไหม?
ของผมมีแค่อันเดียวก็ยังหงุดหงิดแล้ว น่าจะเจาะได้ด้วย Android ที่ root แล้วอะไรทำนองนั้น แต่ไม่มีเวลามากพอจะไปค้นหรือไปสู้ด้วย
ไม่ใช่ตัวทดแทนที่สมบูรณ์ แต่สำหรับผมก็พอแล้ว Bitwarden ยังโฮสต์เองได้ด้วย
[0] Vaultwarden
เช่น เพราะควบคุมไม่ได้ว่าผู้คนจะเก็บไว้ที่ไหน หรือจะทำแบ็กอัปหรือไม่ ดังนั้นก็พอเข้าใจได้ระดับหนึ่งว่าทำไมบริษัทถึงชอบโซลูชันพวกนั้น
ผมคิดว่า Aegis ควรเป็นที่รู้จักมากกว่านี้จริง ๆ ผมติดตั้งมันลงในมือถือเก่าที่พื้นที่เก็บข้อมูลไม่พอจะติดตั้ง Google Authenticator แล้วก็พอใจกับแอปมาก
การที่เป็น โปรเจกต์ชุมชน ก็เป็นโบนัสที่ดีด้วย
Aegis ดีและใช้งานแล้วเพลิน
หวังว่าที่อื่น ๆ จะไม่เดินตามกระแสทำแอปยืนยันตัวตนของตัวเองแบบ Microsoft Authenticator แล้วบอกว่าแอปอื่นไม่ปลอดภัย พร้อมกับบล็อกไม่ให้ใช้แอปยืนยันตัวตนอย่าง Aegis
อยากรู้ว่าแบ็กอัปเป็นแบบไหน
สามารถสร้าง แบ็กอัปแบบเข้ารหัส ที่ป้องกันด้วยรหัสผ่านที่ผู้ใช้กำหนดเมื่อต้องการได้ไหม? มีแอปเดสก์ท็อปที่เปิดหรืออ่านแบ็กอัปนั้นได้ไหม หรืออ่านด้วยอะไรอย่าง SQLite DB Browser ได้หรือเปล่า? ตั้งค่าให้บันทึกสำเนาที่เข้ารหัสไว้ในที่อย่าง Dropbox ทุกครั้งที่มีการเปลี่ยนแปลงได้ไหม?
แล้วก็สงสัยว่าควรติดตั้งจาก Play Store หรือ APK บน GitHub ดีกว่า
ทำแบ็กอัปแบบเข้ารหัสที่ป้องกันด้วยรหัสผ่านเมื่อสั่งได้
พอถอดรหัสแล้วมันก็เป็น JSON ธรรมดา จึงอ่านได้เสมอ แอป GNOME Circle ชื่อ “Authenticator” ที่ผมใช้บนเดสก์ท็อปสามารถนำเข้าแบ็กอัปของ Aegis ได้แบบ native ส่วนแอปอื่นไม่ค่อยทราบ
ดูในหน้าตั้งค่าเหมือนจะมีฟีเจอร์เกี่ยวกับแบ็กอัปอัตโนมัติและแบ็กอัปบนคลาวด์ด้วย แต่ผมยังไม่เคยใช้เอง
ถ้าใช้ APK จาก GitHub จะเสียการอัปเดตอัตโนมัติไป ผมใช้ F-Droid
ดีจริง ๆ ที่แอปมากขึ้นเรื่อย ๆ เริ่มใช้ Material 3/You
ดีไซน์ UI ของ Apple ไม่ใช่รสนิยมผม แต่เมื่อเทียบกับ UI ที่กระจัดกระจายของ Android แล้ว ผมชอบความสม่ำเสมอของดีไซน์ UI ในแอป iOS ส่วนใหญ่
แต่ข้อบ่นหลักของผมต่อดีไซน์แอป Android น่าจะอยู่ที่หลายแอปเป็นการทำแบบลวก ๆ ที่เอา Material UI รุ่นเก่ามาแปะในตัวแก้ไขแบบลากแล้ววางอย่างระบบวิดเจ็ตของ Android Studio
ถ้าเปิดให้ใครก็ได้สร้างอะไรบางอย่าง และมีแรงจูงใจให้ทำเงินจากการเก็บข้อมูลกับโฆษณา โดยไม่มีการกดขี่แบบองค์กรสไตล์ Apple ผลลัพธ์ก็จะออกมาแบบนั้น ดังนั้นแอปใน คลังซอฟต์แวร์เสรีและโอเพนซอร์ส อย่าง F-Droid แม้ UI/UX จะหลากหลายไม่แพ้กัน แต่โดยรวมมักใช้งานได้สะอาดตากว่ามาก
ผมใช้ Aegis มาหลายปีแล้ว แต่ยังหาส่วนที่ไม่ชอบไม่ได้เลย เป็นแอปที่ทำงานได้ครบถ้วนสมบูรณ์ และผมตั้งตารอจะลองอัปเดตใหม่
ช่วงหลังผมเจอแอปโอเพนซอร์สสองตัวที่อัปเดตใหญ่แล้วทำให้ UI/UX แย่ลงมาก แน่นอนว่าบางคนอาจชอบการเปลี่ยนแปลงนั้นก็ได้ ตัวหนึ่งคือโปรแกรมแชต XMPP Gajim บนเดสก์ท็อป และอีกตัวคือแอปนำทางการหายใจ Breathly บนมือถือ
ตอนนี้ใช้ 2FAS อย่างพอใจอยู่ เลยสงสัยว่าเมื่อเทียบกับ Aegis แล้วเป็นอย่างไร
ลองค้นดูคร่าว ๆ เหมือนว่า Aegis จะไม่รองรับหลายอุปกรณ์และใช้บนเดสก์ท็อปไม่ได้
https://2fas.com/
ผมก็ไม่ใช่คนที่พกมือถือติดตัวตลอดเวลาด้วย