5 คะแนน โดย GN⁺ 2024-03-25 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ปรับดีไซน์หน้าจอแอปด้วยการนำ Material 3 และ Material You มาใช้
  • เพิ่มฟีเจอร์ กำหนดไอคอนอัตโนมัติ ให้กับรายการ และเพิ่มฟีเจอร์เลือกทุกรายการพร้อมกัน
  • รองรับการนำเข้าแบ็กอัป 2FAS schema v4
  • เพิ่มฟีเจอร์จัดเรียงรายการตามเวลาที่ใช้งานล่าสุด
  • ปรับปรุงประสิทธิภาพ เมื่อต้องเลื่อนดูรายการที่มีไอคอนจำนวนมาก
  • แก้ไขปัญหาความล้มเหลวของการ นำเข้า Authy โดยตรง ด้วย root
  • แก้ไขปัญหาการแสดงผลเล็กน้อยที่เกี่ยวข้องกับการตั้งค่าอัตราส่วนระยะเวลาของแอนิเมชัน และปรับปรุงเสถียรภาพหลายจุด

1 ความคิดเห็น

 
GN⁺ 2024-03-25
ความคิดเห็นจาก Hacker News
  • ชอบ Aegis มากจริง ๆ และมองว่าเป็นหนึ่งในแอปที่สำคัญที่สุดบนโทรศัพท์ของผม
    ถ้าใช้ Aegis บน Android และใช้ดิสโทร Linux ที่อิง GNOME ขอแนะนำอย่างยิ่งให้ใช้ Gnome Authenticator ควบคู่กัน
    flatpak install flathub com.belmoussaoui.Authenticator
    Gnome Authenticator ยังอยู่ในช่วงแรก ๆ เลยมีบั๊กอยู่บ้าง และถ้ามีโทเค็นเยอะก็มักมีปัญหาด้านประสิทธิภาพ แต่สามารถนำเข้าและส่งออกฟอร์แมตของ Aegis รวมถึงฟอร์แมตอื่น ๆ ได้บางส่วน
    การมี seed อยู่ทั้งบนโทรศัพท์ แล็ปท็อป และเดสก์ท็อปนั้นสะดวกมากจริง ๆ
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    หวังว่าสักวัน Gnome Authenticator จะถูกแจกจ่ายเป็นส่วนหนึ่งของ GNOME แต่ตอนนี้ยังไม่ใช่
    การ build จากซอร์สและรันด้วย Gnome Builder ก็ง่ายมาก เปิด Builder แล้ว clone ซอร์สจาก GitLab จากนั้นกดปุ่ม “Build” ระบบก็จัดการต่อเอง
    https://wiki.gnome.org/Newcomers/BuildProject

    • ไม่มีทางคิดจะติดตั้งแอปยืนยันตัวตนเป็น Flatpak เลย
    • OTP auth ซึ่งเป็นเครื่องมือที่ผมใช้บน iOS ก็ทำแบบเดียวกันได้ สามารถซิงก์กับ iCloud ได้ และใช้บน macOS ได้ด้วยเพราะอยู่ในสถานะเข้ารหัสด้วยรหัสผ่าน
      แต่จนถึงตอนนี้ผมยังต้านทานความสะดวกนั้นไว้ได้ และหลีกเลี่ยงการใส่ TOTP seed ลงใน Bitwarden หรือ 1Password ด้วย เพราะรู้สึกชัดมากว่าสิ่งที่เคยเป็นปัจจัยยืนยันตัวตน 2 อย่าง หรืออาจจะ 3 อย่าง กลายเป็นเหลือ 2 อย่าง หรือบางครั้งเหลือแค่อย่างเดียว
    • Authy จะยุติเวอร์ชันเดสก์ท็อป ผมเลยกำลังมองหาทางเลือกอยู่ ชุดนี้ฟังดูเหมือนเป็นตัวเลือกที่ดี
      ผมชอบคอนฟิกแปลก ๆ อยู่แล้ว เลยน่าจะลองใช้ Gnome Authenticator บน WSL2 ดู
    • แค่ใช้ ฐานข้อมูล KeePass ก็ไม่ต้องผูกติดกับระบบปฏิบัติการใดระบบหนึ่ง ใช้ KeePassXC, Keepass2Android ฯลฯ แล้วซิงก์ในแบบที่ต้องการก็พอ
    • สงสัยว่าทำไมไม่ใช้ KeePass
  • Bitwarden และ KeePassXC ก็ให้บริการ การยืนยันตัวตนสองขั้นตอน แบบโอเพนซอร์สที่ฟรีและปลอดภัย นอกเหนือจากการจัดการรหัสผ่าน
    ผมจัดการ TOTP secret key โดยเก็บแยกจากรหัสผ่านไว้ใน vault อีกอันหนึ่ง ไม่ค่อยเข้าใจว่าทำไมต้องใช้อย่างอื่น และอยากให้ใครสักคนบอกเหตุผล

    • ถ้าทำแบบนั้น การยืนยันตัวตนสองขั้นตอนจะลดเหลือเป็น การยืนยันตัวตนขั้นตอนเดียว เพราะไม่มีปัจจัยด้านการครอบครองเหลืออยู่อีกแล้ว
    • ข้อเสียใหญ่ที่สุดเวลาจะใช้ TOTP สำหรับการยืนยันตัวตนสองขั้นตอนใน Bitwarden คือเพิ่ม TOTP ได้แค่หนึ่งรายการต่อรหัสผ่านหนึ่งรายการ
      ที่บริษัทเราใช้ Active Directory ทำให้ใช้บัญชีเดียวกันเข้าหลายไซต์ แต่ TOTP ของแต่ละไซต์ไม่เหมือนกัน ใน Bitwarden เก็บได้แค่รายการเดียว ที่เหลือจึงต้องใส่ไว้ในแอปยืนยันตัวตนทั่วไป ผมไม่อยากสร้างบัญชีซ้ำใน Bitwarden เพียงเพื่อ TOTP
    • Bitwarden 2FA ไม่ได้ฟรี
  • เป็นนักพัฒนาที่ทำงานมานาน แต่ผมน่าจะใกล้เคียง “คนทั่วไป” มากกว่านักพัฒนาประเภทที่จะมาคอมเมนต์ในบทความนี้ พูดตรง ๆ เรื่องแบบนี้มันชวนสับสนมาก ๆ ๆ
    ผมไม่ชอบจัดการเรื่องพวกนี้ และจะไม่ทำโดยสมัครใจด้วยเหตุผลเดียวกับที่ไม่ใช้ PGP กับอีเมล แค่ใช้ Gmail บนเว็บเหมือนคนธรรมดา
    ถึงอย่างนั้นก็มีสองบริการที่เลี่ยงไม่ได้ ต้องใช้การยืนยันตัวตนสองขั้นตอน และตั้งค่า Google Authenticator ไว้บนโทรศัพท์ Android แล้ว คำอธิบายช่วง onboarding ของทั้งสองบริการแย่มาก แต่ก็เชื่อมต่อได้ในที่สุด และตอนนี้ก็ล็อกอินด้วยวิธีนั้นอย่างจำใจ
    ระหว่างอ่านบทความนี้ จู่ ๆ ก็คิดขึ้นมาว่า ถ้าทำโทรศัพท์หาย ผมจะเสียสิทธิ์เข้าถึงบริการสำคัญเหล่านั้นไปด้วยหรือเปล่า อย่างน้อยพอดูแอป Authenticator ก็เห็นไอคอนรูปเมฆสีเขียวที่บอกว่า “โค้ดถูกบันทึกไว้ในบัญชี Google” เลยค่อยโล่งใจขึ้นบ้าง
    ความปลอดภัยออนไลน์สำคัญขึ้นเรื่อย ๆ แต่ก็เหมือนบึงดูด และแม้แต่คนที่รู้ทุกซอกมุมลึกลับบางแห่งของโลกเทคโนโลยีก็อาจไม่เข้าใจเรื่องนี้อย่างถูกต้อง เพียงแต่คนส่วนใหญ่คงไม่ยอมรับเหมือนผม
    คนทั่วไปจริง ๆ เช่นภรรยาของผม แทบไม่มีทางทำความเข้าใจรายละเอียดและหาทางไปสู่แนวปฏิบัติที่ดีที่สุดได้เลย หวังว่า Google หรือ Apple จะไม่ถอดใจหรือกลายเป็นฝ่ายร้ายไปเสียก่อน
    ผมตั้งใจจะตรวจดูว่าสองบริการของผมมี รหัสกู้คืน ให้หรือไม่ การจัดการชุดชื่อผู้ใช้/รหัสผ่านสำคัญ ๆ กับรหัสกู้คืนเป็นสิ่งที่ผมมั่นใจว่าทำได้ และในด้านนี้ก็คงเป็นระดับที่ผมรับมือได้อย่างสบายใจ

    • ใน threat model ส่วนตัวของผม กระบวนการยืนยันตัวตนสองขั้นตอน ส่วนใหญ่กลับทำให้ความปลอดภัยลดลง
      จากประสบการณ์ที่ผ่านมา โอกาสที่ผมจะทำโทรศัพท์หายสูงกว่าโอกาสที่ข้อมูลรับรองของผมจะถูกขโมย และการถูกปฏิเสธการให้บริการจากการเสียสิทธิ์เข้าถึงนั้นร้ายแรงกว่าความเสียหายที่ผมกับบริษัทเจ้าของบัญชีจะได้รับจากข้อมูลรับรองรั่วไหล
      สำหรับนายจ้างหรือบัญชีธนาคารบางส่วน สถานการณ์จะกลับกัน แต่ผมไม่เชื่อมโยงอุปกรณ์ส่วนตัวกับบัญชีนายจ้างไม่ว่าทางใด
      น่าเสียดายที่อุตสาหกรรมมองความปลอดภัยเป็นแกนเดียว แล้วคิดแค่ว่าปลอดภัยกว่าหรือปลอดภัยน้อยกว่า ในบัญชีส่วนตัว การเข้าไม่ได้ มักร้ายแรงและพบได้บ่อยกว่าการถูกยึดบัญชี ในบางกรณี การยืนยันตัวตนสองขั้นตอนทำให้ความปลอดภัยของผมลดลง
    • สถานะของเทคโนโลยีตอนนี้รู้สึกน่ากลัวจริง ๆ การยืนยันตัวตนสองขั้นตอนนี้เหมือนปาฏิหาริย์ ฟรีและเป็นอิสระจากบิ๊กเทค
      ผมมองว่าสำคัญในระดับเดียวกับผลิตภัณฑ์ของ Mozilla ต่อไปจะมีแอปพลิเคชัน พิสูจน์ความเป็นบุคคล ออกมามากขึ้นเพราะเรื่องความปลอดภัย
      แต่รหัสกู้คืนน่าจะยังไม่หายไปในเร็ว ๆ นี้ แน่นอนว่าอาจต่างออกไปถ้านักพัฒนาที่มี AI ช่วยได้รับของขวัญเป็นหน่วยความจำระยะยาวในอีกไม่กี่ปีข้างหน้า
    • ปัญหาคือเมื่อทำโทรศัพท์หาย จะยังเข้าถึง บัญชี Google ได้หรือไม่ บัญชีนั้นไม่ใช่ของคุณ แต่เป็นของ Google
    • ด้วยเหตุผลนั้นเองผมถึงเริ่มใช้ Aegis และเชื่อใจมันมาก เพราะ ฟีเจอร์สำรองข้อมูล
      ผมสำรองข้อมูลแบบเข้ารหัสไว้ในสองตำแหน่งที่ต่างกัน ดังนั้นต่อให้โทรศัพท์พัง ผมก็ยังใช้การยืนยันตัวตนสองขั้นตอนต่อได้ตามเงื่อนไขของตัวเอง
  • มาถึงตรงนี้แล้ว มีใครเจอสถานการณ์งี่เง่าที่องค์กรไม่ยอมให้มีเครื่องมือสร้างโทเค็นเอง แล้วบังคับให้ใช้ของอย่าง Duo ไหม?
    ของผมมีแค่อันเดียวก็ยังหงุดหงิดแล้ว น่าจะเจาะได้ด้วย Android ที่ root แล้วอะไรทำนองนั้น แต่ไม่มีเวลามากพอจะไปค้นหรือไปสู้ด้วย

    • Duo อนุญาตให้ใช้คีย์ความปลอดภัยแบบกายภาพได้ ผมเก็บมันไว้ใน Bitwarden เป็น passkey แล้วใช้แบบนั้น
      ไม่ใช่ตัวทดแทนที่สมบูรณ์ แต่สำหรับผมก็พอแล้ว Bitwarden ยังโฮสต์เองได้ด้วย
      [0] Vaultwarden
    • ถ้าเป็นอุปกรณ์ที่ root แล้ว Aegis ก็ดูด secret ของ Duo ออกมาได้อย่างเต็มใจ
    • โดยเนื้อแท้แล้ว TOTP ปลอดภัยน้อยกว่าโซลูชันแบบปิดเหล่านี้
      เช่น เพราะควบคุมไม่ได้ว่าผู้คนจะเก็บไว้ที่ไหน หรือจะทำแบ็กอัปหรือไม่ ดังนั้นก็พอเข้าใจได้ระดับหนึ่งว่าทำไมบริษัทถึงชอบโซลูชันพวกนั้น
  • ผมคิดว่า Aegis ควรเป็นที่รู้จักมากกว่านี้จริง ๆ ผมติดตั้งมันลงในมือถือเก่าที่พื้นที่เก็บข้อมูลไม่พอจะติดตั้ง Google Authenticator แล้วก็พอใจกับแอปมาก
    การที่เป็น โปรเจกต์ชุมชน ก็เป็นโบนัสที่ดีด้วย

    • นั่นเป็นมากกว่าโบนัสนะ มีแต่โปรเจกต์ประเภทนี้เท่านั้นที่ผมเชื่อได้ว่าจะไม่ทำลายประสบการณ์ผู้ใช้จนพังยับ แล้วรีดเงินให้ได้มากที่สุดเพราะแรงจูงใจเรื่องกำไรหรือแผน IPO ไม่ว่าจะพรุ่งนี้ มะรืนนี้ หรืออีกหนึ่งปีข้างหน้า
  • Aegis ดีและใช้งานแล้วเพลิน
    หวังว่าที่อื่น ๆ จะไม่เดินตามกระแสทำแอปยืนยันตัวตนของตัวเองแบบ Microsoft Authenticator แล้วบอกว่าแอปอื่นไม่ปลอดภัย พร้อมกับบล็อกไม่ให้ใช้แอปยืนยันตัวตนอย่าง Aegis

  • อยากรู้ว่าแบ็กอัปเป็นแบบไหน
    สามารถสร้าง แบ็กอัปแบบเข้ารหัส ที่ป้องกันด้วยรหัสผ่านที่ผู้ใช้กำหนดเมื่อต้องการได้ไหม? มีแอปเดสก์ท็อปที่เปิดหรืออ่านแบ็กอัปนั้นได้ไหม หรืออ่านด้วยอะไรอย่าง SQLite DB Browser ได้หรือเปล่า? ตั้งค่าให้บันทึกสำเนาที่เข้ารหัสไว้ในที่อย่าง Dropbox ทุกครั้งที่มีการเปลี่ยนแปลงได้ไหม?
    แล้วก็สงสัยว่าควรติดตั้งจาก Play Store หรือ APK บน GitHub ดีกว่า

    • ผมใช้ Aegis เป็นแอปหลักสำหรับการยืนยันตัวตนสองขั้นตอนอยู่ เลยตอบได้
      ทำแบ็กอัปแบบเข้ารหัสที่ป้องกันด้วยรหัสผ่านเมื่อสั่งได้
      พอถอดรหัสแล้วมันก็เป็น JSON ธรรมดา จึงอ่านได้เสมอ แอป GNOME Circle ชื่อ “Authenticator” ที่ผมใช้บนเดสก์ท็อปสามารถนำเข้าแบ็กอัปของ Aegis ได้แบบ native ส่วนแอปอื่นไม่ค่อยทราบ
      ดูในหน้าตั้งค่าเหมือนจะมีฟีเจอร์เกี่ยวกับแบ็กอัปอัตโนมัติและแบ็กอัปบนคลาวด์ด้วย แต่ผมยังไม่เคยใช้เอง
      ถ้าใช้ APK จาก GitHub จะเสียการอัปเดตอัตโนมัติไป ผมใช้ F-Droid
  • ดีจริง ๆ ที่แอปมากขึ้นเรื่อย ๆ เริ่มใช้ Material 3/You
    ดีไซน์ UI ของ Apple ไม่ใช่รสนิยมผม แต่เมื่อเทียบกับ UI ที่กระจัดกระจายของ Android แล้ว ผมชอบความสม่ำเสมอของดีไซน์ UI ในแอป iOS ส่วนใหญ่

    • ผมเลือกประสบการณ์ UI ที่หลากหลายกว่าของ Android เหนือประสบการณ์ของ iOS ที่ขัดเกลากว่าแต่ถูกกำหนดกรอบอย่างเข้มงวดได้ทุกเมื่อ
      แต่ข้อบ่นหลักของผมต่อดีไซน์แอป Android น่าจะอยู่ที่หลายแอปเป็นการทำแบบลวก ๆ ที่เอา Material UI รุ่นเก่ามาแปะในตัวแก้ไขแบบลากแล้ววางอย่างระบบวิดเจ็ตของ Android Studio
      ถ้าเปิดให้ใครก็ได้สร้างอะไรบางอย่าง และมีแรงจูงใจให้ทำเงินจากการเก็บข้อมูลกับโฆษณา โดยไม่มีการกดขี่แบบองค์กรสไตล์ Apple ผลลัพธ์ก็จะออกมาแบบนั้น ดังนั้นแอปใน คลังซอฟต์แวร์เสรีและโอเพนซอร์ส อย่าง F-Droid แม้ UI/UX จะหลากหลายไม่แพ้กัน แต่โดยรวมมักใช้งานได้สะอาดตากว่ามาก
  • ผมใช้ Aegis มาหลายปีแล้ว แต่ยังหาส่วนที่ไม่ชอบไม่ได้เลย เป็นแอปที่ทำงานได้ครบถ้วนสมบูรณ์ และผมตั้งตารอจะลองอัปเดตใหม่

    • เพราะงั้นพออ่านหัวข้อแล้วก็กลัวนิดหน่อย แต่ดูจากสกรีนช็อตแล้วน่าจะโอเค
      ช่วงหลังผมเจอแอปโอเพนซอร์สสองตัวที่อัปเดตใหญ่แล้วทำให้ UI/UX แย่ลงมาก แน่นอนว่าบางคนอาจชอบการเปลี่ยนแปลงนั้นก็ได้ ตัวหนึ่งคือโปรแกรมแชต XMPP Gajim บนเดสก์ท็อป และอีกตัวคือแอปนำทางการหายใจ Breathly บนมือถือ
    • เห็นด้วยเต็มที่ แทบจะเป็นแอปเดียวในบรรดาแอปที่ผมเคยใช้ที่เรียกได้ว่าไม่มีที่ติ
  • ตอนนี้ใช้ 2FAS อย่างพอใจอยู่ เลยสงสัยว่าเมื่อเทียบกับ Aegis แล้วเป็นอย่างไร
    ลองค้นดูคร่าว ๆ เหมือนว่า Aegis จะไม่รองรับหลายอุปกรณ์และใช้บนเดสก์ท็อปไม่ได้
    https://2fas.com/

    • ถ้าเพิ่มแอปเดสก์ท็อปได้ก็คงดี ผมใช้เวลาอยู่หน้าจอนั้นมากกว่าอยู่กับมือถือ
      ผมก็ไม่ใช่คนที่พกมือถือติดตัวตลอดเวลาด้วย