5 poin oleh GN⁺ 2024-03-25 | 1 komentar | Bagikan ke WhatsApp
  • Desain tampilan aplikasi diperbarui dengan penerapan Material 3 dan Material You
  • Menambahkan fitur penetapan ikon otomatis untuk entri, serta fitur untuk memilih semua entri sekaligus
  • Mendukung impor cadangan 2FAS schema v4
  • Menambahkan fitur untuk mengurutkan entri berdasarkan waktu terakhir digunakan
  • Peningkatan performa saat menggulir daftar entri yang memiliki banyak ikon
  • Memperbaiki masalah kegagalan impor langsung Authy menggunakan root
  • Memperbaiki masalah tampilan kecil terkait pengaturan skala durasi animasi, serta menerapkan berbagai peningkatan stabilitas

1 komentar

 
GN⁺ 2024-03-25
Pendapat di Hacker News
  • Saya sangat menyukai Aegis, dan menganggapnya sebagai salah satu aplikasi terpenting di ponsel saya
    Jika Anda memakai Aegis di Android dan memakai distro Linux berbasis GNOME, saya sangat merekomendasikan memakai Gnome Authenticator bersamanya
    flatpak install flathub com.belmoussaoui.Authenticator
    Gnome Authenticator masih tahap awal, jadi ada beberapa bug, dan kalau tokennya banyak biasanya ada masalah performa, tetapi aplikasi ini bisa mengimpor dan mengekspor format Aegis serta beberapa format lain
    Sangat nyaman punya seed di ponsel, laptop, dan desktop sekaligus
    https://gitlab.gnome.org/World/Authenticator
    https://flathub.org/apps/com.belmoussaoui.Authenticator
    Saya berharap suatu hari Gnome Authenticator akan didistribusikan sebagai bagian dari GNOME, tetapi saat ini belum
    Membangun dan menjalankannya dari source dengan Gnome Builder juga sangat mudah. Buka Builder, clone source dari GitLab, lalu tekan tombol “Build”, dan semuanya akan berjalan sendiri
    https://wiki.gnome.org/Newcomers/BuildProject

    • Saya sama sekali tidak berniat memasang aplikasi autentikasi sebagai Flatpak
    • OTP auth, alat yang saya pakai di iOS, juga bisa melakukan hal yang sama. Bisa disinkronkan ke iCloud, dan karena terenkripsi dengan ciphertext, bisa dipakai juga di macOS
      Namun sejauh ini saya menahan godaan kemudahan itu, dan juga menghindari memasukkan seed TOTP ke Bitwarden atau 1Password. Karena rasanya besar sekali penurunan dari yang tadinya jelas 2, mungkin 3 faktor autentikasi, menjadi 2 atau kadang 1 faktor
    • Karena Authy memutuskan menghentikan versi desktopnya, saya sedang mencari alternatif, dan kombinasi ini terdengar seperti opsi yang bagus
      Karena saya suka konfigurasi yang aneh-aneh, mungkin saya akan mencoba memakai Gnome Authenticator di atas WSL2
    • Pakai saja database KeePass, maka Anda tidak terikat pada sistem operasi tertentu. Gunakan KeePassXC, Keepass2Android, dan sebagainya, lalu sinkronkan dengan cara yang Anda inginkan
    • Saya penasaran kenapa tidak memakai KeePass
  • Bitwarden dan KeePassXC juga menyediakan autentikasi dua faktor yang gratis dan aman, selain manajemen kata sandi
    Saya mengelola kunci rahasia TOTP dengan menyimpannya di vault terpisah dari kata sandi. Saya tidak begitu paham kenapa harus memakai yang lain, dan akan senang kalau ada yang menjelaskan alasannya

    • Kalau begitu, autentikasi dua faktor turun menjadi autentikasi satu faktor. Karena tidak ada lagi faktor kepemilikan yang tersisa
    • Kelemahan terbesar saat memakai TOTP autentikasi dua faktor dengan Bitwarden adalah Anda hanya bisa menambahkan satu TOTP untuk satu kata sandi
      Di perusahaan, kami memakai Active Directory sehingga akun yang sama dipakai untuk mengakses beberapa situs, tetapi TOTP tiap situs berbeda. Di Bitwarden hanya bisa menyimpan satu, jadi sisanya harus dimasukkan ke aplikasi autentikasi biasa. Saya tidak ingin membuat akun duplikat di Bitwarden hanya demi TOTP
    • Bitwarden 2FA tidak gratis
  • Saya developer yang sudah lama bekerja, tetapi lebih dekat ke “orang biasa” daripada tipe developer yang biasanya berkomentar di tulisan seperti ini. Sejujurnya, hal seperti ini benar-benar, benar-benar, benar-benar membingungkan
    Saya tidak suka mengurus hal seperti ini, dan tidak akan melakukannya secara sukarela, sama seperti alasan saya tidak memakai PGP untuk email. Saya hanya memakai Gmail web seperti orang biasa
    Meski begitu, di dua layanan saya terpaksa memakai autentikasi dua faktor, dan saya sudah mengatur Google Authenticator di ponsel Android. Penjelasan onboarding dari kedua layanan itu sama-sama buruk, tetapi bagaimanapun berhasil tersambung, dan sekarang saya login dengan cara itu walau setengah terpaksa
    Saat membaca tulisan ini, tiba-tiba saya berpikir: kalau saya kehilangan ponsel, apakah saya juga kehilangan akses ke layanan-layanan penting itu? Setidaknya ketika melihat aplikasi Authenticator, ada ikon awan hijau bertuliskan “kode disimpan di akun Google”, jadi saya agak lega
    Keamanan online makin penting, tetapi benar-benar seperti rawa, dan bahkan orang yang paham segala sudut rumit dunia teknologi pun bisa saja tidak memahami ini dengan benar. Hanya saja kebanyakan orang mungkin tidak akan mengakuinya seperti saya
    Orang yang benar-benar biasa, misalnya istri saya, hampir tidak mungkin memahami detailnya dan menemukan jalan menuju praktik terbaik. Saya berharap Google atau Apple tidak menyerah soal ini atau berubah menjadi sepenuhnya jahat
    Saya akan memeriksa apakah dua layanan saya menyediakan kode pemulihan. Saya cukup percaya diri mengelola kombinasi nama pengguna/kata sandi penting dan kode pemulihan, dan kira-kira hanya sampai level itulah saya nyaman menanganinya di bidang ini

    • Dalam model ancaman pribadi saya, sebagian besar alur autentikasi dua faktor justru menurunkan keamanan
      Secara historis, kemungkinan saya kehilangan ponsel lebih tinggi daripada kredensial saya dicuri, dan penolakan layanan akibat kehilangan akses lebih fatal daripada kerugian yang saya dan perusahaan pemilik akun alami akibat kebocoran kredensial
      Untuk sebagian akun pemberi kerja atau bank, kebalikannya berlaku, tetapi saya tidak menghubungkan perangkat pribadi saya dengan akun pemberi kerja dalam bentuk apa pun
      Saya menyayangkan industri melihat keamanan sebagai satu sumbu saja dan hanya memikirkannya sebagai lebih aman atau kurang aman. Pada akun pribadi, tidak bisa mengakses akun sering kali lebih serius dan lebih umum daripada pembajakan akun. Dalam beberapa kasus, autentikasi dua faktor membuat keamanan saya lebih rendah
    • Kondisi teknologi saat ini benar-benar terasa menakutkan. Autentikasi dua faktor ini seperti keajaiban. Gratis dan independen dari Big Tech
      Saya melihatnya sepenting produk Mozilla. Ke depannya, karena faktor keamanan, akan muncul lebih banyak aplikasi pembuktian kepribadian
      Namun kode pemulihan sepertinya tidak akan hilang dalam waktu dekat. Tentu saja, bisa berbeda jika developer dengan bantuan AI diberi memori jangka panjang dalam beberapa tahun ke depan
    • Masalahnya adalah apakah Anda bisa mengakses akun Google saat kehilangan ponsel. Akun itu bukan milik Anda, melainkan milik Google
    • Justru karena alasan itulah saya mulai memakai Aegis dan sangat memercayainya. Karena fitur backup-nya
      Saya membuat backup terenkripsi di dua lokasi berbeda, jadi meskipun ponsel saya meledak, saya tetap bisa melanjutkan autentikasi dua faktor sesuai syarat saya sendiri
  • Mumpung sudah sampai sini, ada yang mengalami situasi bodoh di mana organisasi tidak mengizinkan kita punya alat pembuat token sendiri dan memaksa memakai sesuatu seperti Duo?
    Aku baru mengalami satu saja sudah kesal. Sepertinya bisa diakali dengan Android yang di-root atau semacamnya, tapi aku tidak punya banyak waktu untuk mencari tahu atau berdebat

    • Duo memungkinkan penggunaan kunci keamanan fisik. Aku menyimpannya sebagai passkey di Bitwarden dan memakainya dari sana
      Bukan pengganti yang sempurna, tapi cukup bagiku. Bitwarden juga bisa di-host sendiri
      [0] Vaultwarden
    • Kalau perangkatnya sudah di-root, Aegis bisa dengan senang hati menyedot secret Duo
    • TOTP pada dasarnya kurang aman dibanding solusi-solusi proprietary seperti ini
      Misalnya karena tidak bisa mengontrol orang menyimpannya di mana, atau apakah mereka membuat backup. Jadi sampai batas tertentu bisa dimengerti kenapa perusahaan lebih menyukai solusi seperti itu
  • Menurutku Aegis benar-benar harus lebih dikenal luas. Aku memasangnya di ponsel lama yang ruang penyimpanannya tidak cukup untuk memasang Google Authenticator, dan aplikasinya sangat memuaskan
    Fakta bahwa ini adalah proyek komunitas juga menjadi bonus yang bagus

    • Itu lebih dari sekadar bonus. Hanya proyek seperti inilah yang bisa dipercaya tidak akan, entah besok, lusa, atau setahun lagi, benar-benar merusak pengalaman pengguna dan memeras uang sebanyak mungkin karena motif keuntungan atau IPO yang sudah direncanakan
  • Aegis bagus dan menyenangkan dipakai
    Aku berharap pihak lain tidak ikut-ikutan tren membuat aplikasi autentikasi sendiri seperti Microsoft Authenticator, lalu mengatakan aplikasi lain tidak aman dan memblokir penggunaan aplikasi autentikasi seperti Aegis

  • Aku penasaran seperti apa backup-nya
    Apakah bisa membuat backup terenkripsi yang dilindungi kata sandi yang ditentukan pengguna saat diperlukan? Apakah ada aplikasi desktop yang bisa membuka atau membacanya, atau bisa dibaca dengan sesuatu seperti SQLite DB Browser? Bisakah diatur agar setiap ada perubahan, salinan terenkripsi disimpan ke tempat seperti Dropbox?
    Aku juga penasaran apakah pemasangan dari Play Store yang direkomendasikan, atau APK dari GitHub lebih baik

    • Aku memakai Aegis sebagai aplikasi utama untuk autentikasi dua faktor, jadi bisa menjawab
      Backup terenkripsi yang dilindungi kata sandi saat diminta itu bisa
      Setelah didekripsi, isinya hanya JSON biasa, jadi selalu bisa dibaca. Aplikasi GNOME Circle “Authenticator” yang kupakai di desktop bisa mengimpor backup Aegis secara native. Untuk aplikasi lain aku kurang tahu
      Kalau melihat halaman pengaturan, sepertinya ada juga fitur terkait backup otomatis dan backup cloud, tapi aku belum pernah memakainya sendiri
      Kalau memakai APK GitHub, kamu kehilangan pembaruan otomatis. Aku memakai F-Droid
  • Senang sekali semakin banyak aplikasi mulai memakai Material 3/You
    Desain UI Apple bukan seleraku, tapi dibanding UI Android yang beragam tidak karuan, aku menyukai konsistensi desain UI di sebagian besar aplikasi iOS

    • Kapan pun aku akan memilih pengalaman UI Android yang lebih beragam dibanding pengalaman iOS yang lebih dipoles tetapi sangat diatur
      Namun keluhan utamaku terhadap desain aplikasi Android sepertinya adalah banyak aplikasi merupakan implementasi buruk yang dibuat dengan menempelkan UI Material lama secara asal di editor drag-and-drop seperti sistem widget Android Studio
      Jika tanpa tirani korporat ala Apple siapa pun diberi insentif untuk membuat sesuatu dan menghasilkan uang dari pengumpulan data serta iklan, begitulah hasilnya. Karena itu aplikasi di repositori bebas dan open source seperti F-Droid umumnya jauh lebih rapi digunakan, meski UI/UX-nya sama-sama beragam
  • Aku sudah memakai Aegis selama beberapa tahun dan belum menemukan bagian yang tidak kusukai. Ini aplikasi yang sepenuhnya fungsional, dan aku menantikan untuk mencoba update barunya

    • Karena itu aku agak takut saat membaca judulnya. Dari screenshot, sepertinya akan baik-baik saja
      Baru-baru ini aku mengalami dua aplikasi open source yang UI/UX-nya menjadi jauh lebih buruk setelah update besar. Tentu saja sebagian orang mungkin menyukai perubahan itu, tapi yang satu adalah messenger XMPP Gajim di desktop dan yang lain adalah aplikasi panduan pernapasan Breathly di mobile
    • Sepenuhnya setuju. Ini hampir satu-satunya aplikasi yang pernah kupakai yang bisa dibilang tanpa cela
  • Saat ini aku memakai 2FAS dengan puas, tapi penasaran bagaimana perbandingannya dengan Aegis
    Setelah mencari sebentar, sepertinya Aegis tidak mendukung banyak perangkat dan juga tidak bisa digunakan di desktop
    https://2fas.com/

    • Akan bagus kalau mereka menambahkan aplikasi desktop. Aku menghabiskan lebih banyak waktu di depan layar itu daripada di ponsel
      Aku juga bukan tipe yang selalu membawa ponsel ke mana-mana