5 ポイント 投稿者 GN⁺ 2024-03-25 | 1件のコメント | WhatsAppで共有
  • Material 3とMaterial Youの適用により、アプリ画面のデザインを変更
  • 項目へのアイコン自動割り当て機能を追加、すべての項目を一括選択する機能を追加
  • 2FAS schema v4バックアップのインポートに対応
  • 項目を最後に使用した時刻順で並べ替える機能を追加
  • アイコンが多い項目リストをスクロールする際のパフォーマンス改善
  • rootを使ったAuthyの直接インポートが失敗する問題を修正
  • アニメーション継続時間スケール設定に関連する軽微な表示問題を修正し、複数の安定性改善を適用

1件のコメント

 
GN⁺ 2024-03-25
Hacker Newsのコメント
  • Aegisが本当に気に入っていて、自分のスマートフォンで最も重要なアプリの1つだと思っている
    AndroidでAegisを使い、GNOMEベースのLinuxディストリビューションを使っているなら、Gnome Authenticatorも併用することを強くおすすめする
    flatpak install flathub com.belmoussaoui.Authenticator
    Gnome Authenticatorはまだ初期段階なので多少バグがあり、トークンが多いと主にパフォーマンス面の問題があるが、Aegis形式やいくつかの別形式をインポート/エクスポートできる
    シードをスマートフォン、ノートPC、デスクトップのすべてに置いておけるのは本当に便利
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    いつかGnome AuthenticatorがGNOMEの一部として配布されるようになってほしいが、まだそうではない
    Gnome Builderでソースからビルドして実行するのもとても簡単。Builderを開いてGitLabからソースをクローンし、“Build”ボタンを押せば、あとは勝手に進む
    https://wiki.gnome.org/Newcomers/BuildProject

    • 認証アプリをFlatpakでインストールするつもりはまったくない
    • iOSで自分が使っているツールのOTP authでも同じことができる。iCloudに同期でき、暗号文として暗号化された状態なのでmacOSでも使える
      ただ、これまではその便利さの誘惑に耐えてきたし、TOTPシードをBitwardenや1Passwordに入れることも避けてきた。今まで明らかに2つ、場合によっては3つの認証要素だったものが、2つ、時には1つに減ってしまう感覚が強いから
    • Authyがデスクトップ版を終了することになり代替を探していたが、この組み合わせは良い選択肢に聞こえる
      変わった構成が好きなので、おそらくWSL2上でGnome Authenticatorを動かして試してみると思う
    • 単にKeePassデータベースを使えば、特定のOSに縛られない。KeePassXCやKeepass2Androidなどを使い、好きな方法で同期すればよい
    • なぜKeePassを使わないのか気になる
  • BitwardenとKeePassXCも、パスワード管理に加えて、無料で安全なオープンソースの2段階認証を提供している
    TOTP秘密鍵はパスワードと分けて別の保管庫に保存する形で管理している。なぜ他のものを使う必要があるのかよく分からないので、誰か理由を教えてくれるとありがたい

    • そうすると2段階認証が1段階認証に減ってしまう。もはや所有要素が残らないから
    • Bitwardenで2段階認証TOTPを使う際の最大の欠点は、1つのパスワードにTOTPを1つしか追加できないこと
      会社ではActive Directoryを使って同じアカウントで複数サイトにアクセスしているが、各サイトのTOTPはそれぞれ異なる。Bitwardenには1つしか保存できないので、残りは通常の認証アプリに入れる必要がある。TOTPのためだけにBitwardenに重複アカウントを作りたくはない
    • Bitwarden 2FAは無料ではない
  • 長く働いている開発者だが、この記事にコメントしているタイプの開発者というより、もっと「普通の人」に近い。正直、こういう話は本当に、本当に、本当に分かりにくい
    こういうものを扱うのが嫌いで、メールにPGPを使わないのと同じ理由で自発的にはやらない。普通の人のようにWeb版Gmailを使っているだけ
    それでも2つのサービスではやむを得ず2段階認証を使っていて、AndroidスマートフォンにGoogle Authenticatorを設定してある。どちらのサービスもオンボーディングの説明はひどかったが、とにかく連携はでき、今はしぶしぶその方法でログインしている
    これを読んでいてふと、スマートフォンを失くしたら、その重要なサービスへのアクセスも失うのだろうかと思った。少なくともAuthenticatorアプリを見ると、緑色の「コードがGoogleアカウントに保存されています」という雲アイコンがあるので、少しは安心している
    オンラインセキュリティはますます重要になっているが、完全に沼であり、技術世界の難解な一角をすべて知っている人でも、これをきちんと理解していないことがある。ただ、多くの人は私のようには認めないだろう
    本当に普通の人、たとえば私の妻のような人が、細部を把握してベストプラクティスへたどり着く可能性はほとんどない。GoogleやAppleがこれを諦めたり、完全に邪悪になったりしないことを願う
    自分の2つのサービスが復旧コードを提供しているか確認してみるつもり。重要なユーザー名/パスワードの組み合わせと復旧コードを管理するくらいなら自信があり、この分野で自分が無理なく扱えるのはその程度だ

    • 私個人の脅威モデルでは、ほとんどの2段階認証フローはむしろセキュリティを下げる
      歴史的に、自分の認証情報が盗まれる可能性よりもスマートフォンを失くす可能性の方が高かったし、認証情報漏えいによって自分とアカウントを保有する企業が受ける被害より、アクセス権を失うことによるサービス拒否の方が致命的だ
      雇用主や一部の銀行口座では逆になるが、個人デバイスを雇用主のアカウントといかなる形でも結び付けない
      業界がセキュリティを単一の軸で見て、より安全かより安全でないかだけで考えているのが残念だ。個人アカウントでは、アカウント乗っ取りよりもアクセス不能の方が深刻で、よく起こる場合が多い。場合によっては、2段階認証のせいで私のセキュリティは下がる
    • 現在の技術の状況は本当に恐ろしく感じる。この2段階認証は奇跡のようなものだ。無料で、ビッグテックから独立している
      Mozilla製品と同じくらい重要なものだと見ている。今後はセキュリティのために個人性の証明アプリケーションがもっと出てくるだろう
      ただし復旧コードは当面なくならないと思う。もちろん、AI支援の開発者たちが数年以内に長期記憶を授かるなら別かもしれない
    • スマートフォンを失くしたときにGoogleアカウントへアクセスできるかが問題だ。そのアカウントはあなたのものではなく、Googleのものだ
    • まさにその理由でAegisを使い始め、強く信頼している。バックアップ機能があるから
      暗号化して異なる2か所にバックアップしているので、スマートフォンが壊れても自分の条件で2段階認証を続けられる
  • ここまで来たついでに、組織がトークン生成ツールを自分で持たせず、Duo みたいなものを強制してくるという馬鹿げた状況に遭っている人はいる?
    自分は1つだけそうなんだけど、それでももどかしい。root化した Android みたいなもので突破できそうな気はするけど、調べたり戦ったりする時間はあまりなかった

    • Duo は物理セキュリティキーを使えるようにしてくれる。自分はそれを Bitwarden にパスキーとして保存して使っている
      完全な代替ではないけど、自分には十分。Bitwarden はセルフホストも可能
      [0] Vaultwarden
    • root化した端末なら、Aegis は喜んで Duo のシークレットを吸い出せる
    • TOTP は本質的に、こうした独自ソリューションより安全性が低い
      たとえば、人々がどこに保存するか、バックアップを作るかを制御できないから。だから企業がそういうソリューションを好むのは、ある程度理解できる
  • Aegis は本当にもっと広く知られるべきだと思う。Google Authenticator をインストールするにはストレージが足りない古いスマホに入れたのだけど、アプリにはとても満足した
    コミュニティプロジェクトである点も良いおまけ

    • それはおまけ以上だよ。こういう種類のプロジェクトだけが、明日でも明後日でも1年後でも、収益動機や予定されたIPOのためにユーザー体験を完全に台無しにして、できるだけ金を搾り取ることはないと信じられる
  • Aegis は良いし、使っていて楽しい
    Microsoft Authenticator のように独自の認証アプリを作って、他のアプリは安全ではないと言いながら Aegis のような認証アプリを使わせない流れを、他のところが追随しないことを願う

  • バックアップがどういう仕組みなのか気になる
    ユーザーが指定したパスワードで保護される暗号化バックアップを必要なときに作れるのか? そういうバックアップを開いたり読んだりできるデスクトップアプリはあるのか、それとも SQLite DB Browser みたいなもので読めるのか? 変更のたびに暗号化されたコピーを Dropbox みたいなところへ保存するよう設定できるのか?
    インストールは Play Store からが推奨なのか、それとも GitHub の APK のほうがいいのかも気になる

    • Aegis を2段階認証用のメインアプリとして使っているので答えられる
      必要に応じて、パスワードで保護される暗号化バックアップは可能
      復号すると単なる普通の JSON なので、いつでも読める。自分がデスクトップで使っている GNOME Circle アプリの “Authenticator” は Aegis のバックアップをネイティブにインポートできる。他のアプリはよく知らない
      設定ページを見ると、自動バックアップやクラウドバックアップ関連の機能もあるようだけど、自分では使ったことがない
      GitHub APK を使うと自動更新を失う。自分は F-Droid を使っている
  • ますます多くのアプリが Material 3/You を使い始めていて本当に良い
    Apple の UI デザインは自分の好みではなかったけれど、Android のばらばらな UI と比べると、多くの iOS アプリの UI デザインの一貫性は好き

    • 自分はいつでも、より磨き込まれているが強く規定された iOS の体験より、Android のより多様な UI 体験を選ぶ
      ただし Android アプリデザインへの主な不満は、多くのアプリが Android Studio のウィジェットシステムのようなドラッグ&ドロップエディタで、昔の Material UI を適当に貼り付けて作ったひどい実装だという点にあると思う
      Apple式の企業的専制なしに、誰でも何かを作ってデータ収集と広告で稼げるようにインセンティブを与えると、そういう結果になる。だから F-Droid のような自由・オープンソースのリポジトリにあるアプリは、UI/UX が同じように多様でも、概してずっとすっきり使える
  • Aegis を何年も使っているけど、気に入らない部分を見つけられていない。完璧に機能的なアプリで、新しいアップデートを試すのが楽しみ

    • だからタイトルを読んで少し怖くなった。スクリーンショットを見る限り大丈夫そうではある
      最近、大きなアップデートで UI/UX をかなり悪くしたオープンソースアプリを2つ経験した。もちろんその変更を好む人もいるかもしれないけど、1つはデスクトップの Gajim XMPP メッセンジャーで、もう1つはモバイルの Breathly 呼吸ガイドアプリだった
    • 完全に同意。自分が使ったアプリの中で、非の打ちどころがないと言ってよいほぼ唯一のアプリ
  • 現在は 2FAS を満足して使っているけど、Aegis と比べてどうなのか気になる
    少し調べたところ、Aegis は複数デバイスをサポートしておらず、デスクトップでも使えないように見える
    https://2fas.com/

    • デスクトップアプリを追加してくれるといい。自分はスマホより、その画面の前にいる時間のほうが長い
      スマホをいつも身につけて持ち歩くタイプでもない