Android için ücretsiz ve güvenli açık kaynak 2FA uygulaması Aegis v3.0
(github.com/beemdevelopment)- Material 3 ve Material You uygulanarak uygulama ekran tasarımı değiştirildi
- Kayıtlara otomatik ikon atama özelliği eklendi; tüm kayıtları tek seferde seçme özelliği eklendi
- 2FAS schema v4 yedeklerini içe aktarma desteği
- Kayıtları son kullanım zamanına göre sıralama özelliği eklendi
- Çok sayıda ikon içeren kayıt listelerinde kaydırma sırasında performans iyileştirmesi
- root kullanılarak yapılan Authy doğrudan içe aktarma işleminin başarısız olmasına neden olan sorun düzeltildi
- Animasyon süresi ölçeği ayarıyla ilgili küçük görüntüleme sorunları düzeltildi; çeşitli kararlılık iyileştirmeleri uygulandı
1 yorum
Hacker News yorumları
Aegis’i gerçekten seviyorum ve telefonumdaki en önemli uygulamalardan biri olarak görüyorum
Android’de Aegis kullanıyor ve GNOME tabanlı bir Linux dağıtımı kullanıyorsanız Gnome Authenticator ile birlikte kullanmanızı şiddetle öneririm
flatpak install flathub com.belmoussaoui.AuthenticatorGnome Authenticator hâlâ erken aşamada; bazı hataları var ve çok sayıda token varsa ağırlıklı olarak performans sorunları yaşanıyor, ancak Aegis biçimini ve birkaç başka biçimi içe ve dışa aktarabiliyor
Seed’leri telefonda, dizüstünde ve masaüstünde tutmak gerçekten çok kullanışlı
https://gitlab.gnome.org/World/Authenticator
https://flathub.org/apps/com.belmoussaoui.Authenticator
Bir gün Gnome Authenticator’ın GNOME’un bir parçası olarak dağıtılmasını umuyorum ama şimdilik öyle değil
Gnome Builder ile kaynaktan derleyip çalıştırmak da çok kolay. Builder’ı açıp GitLab’dan kaynağı klonladıktan sonra “Build” düğmesine basınca gerisini kendisi hallediyor
https://wiki.gnome.org/Newcomers/BuildProject
Ama şimdiye kadar bu rahatlığın cazibesine direnebildim; TOTP seed’lerini Bitwarden ya da 1Password’e koymaktan da kaçındım. Çünkü şu anda açıkça 2, hatta belki 3 kimlik doğrulama faktörü olan şeyin 2’ye, bazen de 1’e düşmesi gibi güçlü bir his veriyor
Tuhaf kurulumları sevdiğim için muhtemelen WSL2 üzerinde Gnome Authenticator çalıştırmayı deneyeceğim
Bitwarden ve KeePassXC de parola yönetimine ek olarak ücretsiz ve güvenli açık kaynak iki aşamalı kimlik doğrulama sunuyor
TOTP gizli anahtarlarını parolalardan ayrı, ayrı bir kasada saklayacak şekilde yönetiyorum. Neden başka bir şey kullanmam gerektiğini pek anlamıyorum; birisi nedenini açıklarsa iyi olur
Şirkette Active Directory kullanıyoruz; aynı hesapla birden çok siteye erişiyoruz ama her sitenin TOTP’si farklı. Bitwarden’da yalnızca birini saklayabildiğim için kalanları normal kimlik doğrulama uygulamasına koymam gerekiyor. Sırf TOTP için Bitwarden’da yinelenen hesaplar oluşturmak istemiyorum
Uzun süredir çalışan bir geliştiriciyim ama bu yazıya yorum yapan geliştirici tipinden çok daha “sıradan insan”a yakınım. Dürüst olmak gerekirse bu konular gerçekten, gerçekten, gerçekten kafa karıştırıcı
Bunlarla uğraşmaktan nefret ediyorum ve e-postada PGP kullanmamamla aynı nedenle bunu gönüllü olarak yapmıyorum. Sıradan biri gibi web Gmail kullanıyorum
Yine de iki hizmette mecburen iki aşamalı kimlik doğrulama kullanıyorum ve Android telefonumda Google Authenticator’ı ayarladım. İki hizmetin de onboarding açıklamaları berbattı ama bir şekilde bağlandı; şimdi istemeye istemeye o yöntemle oturum açıyorum
Bunu okurken birden, telefonumu kaybedersem o önemli hizmetlere erişimi de kaybeder miyim diye düşündüm. En azından Authenticator uygulamasına baktığımda yeşil “kodlar Google Hesabınıza kaydediliyor” bulut simgesini gördüm; bu biraz içimi rahatlattı
Çevrimiçi güvenlik giderek daha önemli hale geliyor ama tam bir bataklık; teknoloji dünyasının bazı anlaşılması güç köşelerini bilen biri bile bunu doğru düzgün anlamayabilir. Sadece çoğu kişinin benim gibi bunu kabul etmeyeceğini sanıyorum
Gerçekten sıradan biri, örneğin eşim gibi biri, ayrıntıları anlayıp en iyi uygulamalara giden yolu bulma ihtimali çok düşük. Google ya da Apple’ın bundan vazgeçmemesini veya tamamen kötüye dönüşmemesini umuyorum
İki hizmetimin kurtarma kodları sağlayıp sağlamadığını kontrol edeceğim. Önemli kullanıcı adı/parola kombinasyonlarını ve kurtarma kodlarını yönetebileceğime güveniyorum; bu alanda rahatça üstlenebileceğim seviye de aşağı yukarı bu
Tarihsel olarak kimlik bilgilerimin ele geçirilmesinden çok telefonumu kaybetme ihtimalim daha yüksekti; kimlik bilgisi sızıntısının bana ve hesabı barındıran şirkete vereceği zarardan çok, erişim kaybından doğan hizmet reddi benim için daha yıkıcı
İşverenim ya da bazı banka hesapları için durum tersine dönüyor ama kişisel cihazımı işveren hesaplarıyla hiçbir şekilde ilişkilendirmiyorum
Sektörün güvenliği tek bir eksen olarak görüp yalnızca daha güvenli ya da daha az güvenli diye düşünmesi üzücü. Kişisel hesaplarda erişememe durumu, hesap ele geçirilmesinden daha ciddi ve daha yaygın olabiliyor. Bazı durumlarda iki aşamalı kimlik doğrulama yüzünden güvenliğim azalıyor
Mozilla ürünleri kadar önemli görüyorum. Gelecekte güvenlik nedeniyle daha fazla kişilik kanıtı uygulaması çıkacak
Ama kurtarma kodlarının bir süre daha ortadan kalkacağını sanmıyorum. Tabii yapay zeka destekli geliştiricilere birkaç yıl içinde uzun süreli bellek bahşedilirse başka
Şifreleyip iki farklı konuma yedeklediğim için telefonum patlasa bile kendi şartlarımla iki aşamalı kimlik doğrulamaya devam edebilirim
Buraya kadar gelmişken, kuruluşunda token üretme aracını doğrudan elinde bulundurmasına izin verilmeyip Duo gibi bir şeyi zorla kullandırılan şu aptalca durumu yaşayan var mı?
Bende yalnızca bir tane var ama yine de sinir bozucu. Root’lu Android gibi bir şeyle aşılabilir gibi geliyor, ama araştıracak ya da uğraşacak çok zamanım olmadı
Tam bir ikame değil ama benim için yeterli. Bitwarden’ı kendi sunucunda da barındırabiliyorsun
[0] Vaultwarden
Örneğin insanların bunları nerede sakladığını veya yedek alıp almadığını kontrol edemezsin. Bu yüzden şirketlerin bu tür çözümleri tercih etmesini bir ölçüde anlayabiliyorum
Bence Aegis gerçekten çok daha fazla bilinmeyi hak ediyor. Google Authenticator kurmaya depolama alanı yetmeyen eski bir telefona kurmuştum; uygulamadan çok memnun kaldım
Topluluk projesi olması da güzel bir artı
Aegis iyi ve kullanması keyifli
Umarım başkaları da Microsoft Authenticator gibi kendi kimlik doğrulama uygulamasını yapıp, diğer uygulamalar güvenli değil diyerek Aegis gibi doğrulayıcı uygulamaları kullandırtmama akımını takip etmez
Yedeklemenin nasıl olduğunu merak ediyorum
Kullanıcının belirlediği bir parolayla korunan şifreli yedek gerektiğinde oluşturulabiliyor mu? Böyle bir yedeği açıp okuyabilen bir masaüstü uygulaması var mı, yoksa SQLite DB Browser gibi bir şeyle okunabiliyor mu? Her değişiklik olduğunda şifreli bir kopyayı Dropbox gibi bir yere kaydedecek şekilde ayarlanabiliyor mu?
Kurulum için Play Store’un mu önerildiğini, yoksa GitHub’daki APK’nın mı daha iyi olduğunu da merak ediyorum
İstek üzerine parolayla korunan şifreli yedek mümkün
Şifresi çözüldüğünde sadece normal JSON, yani her zaman okunabilir. Masaüstünde kullandığım GNOME Circle uygulaması “Authenticator”, Aegis yedeklerini yerel olarak içe aktarabiliyor. Diğer uygulamaları pek bilmiyorum
Ayarlar sayfasına bakınca otomatik yedekleme ve bulut yedekleme ile ilgili özellikler de var gibi görünüyor ama kendim kullanmadım
GitHub APK’sını kullanırsan otomatik güncellemeyi kaybedersin. Ben F-Droid kullanıyorum
Giderek daha fazla uygulamanın Material 3/You kullanmaya başlaması gerçekten harika
Apple’ın UI tasarımı benim zevkime göre değildi, ama Android’in dağınık UI’ıyla karşılaştırınca çoğu iOS uygulamasındaki UI tasarımı tutarlılığını seviyorum
Yine de Android uygulama tasarımına dair başlıca şikâyetin, birçok uygulamanın Android Studio widget sistemi gibi sürükle-bırak editörlerde eski Material UI’ın kabaca iliştirilmesiyle yapılmış kötü uygulamalar olmasından kaynaklandığını düşünüyorum
Apple tarzı kurumsal zorbalık olmadan herkesin bir şeyler yapmasına ve veri toplama ile reklamlardan para kazanmasına teşvik verirsen ortaya böyle bir sonuç çıkıyor. Bu yüzden F-Droid gibi özgür ve açık kaynak depolarındaki uygulamalar, UI/UX açısından aynı derecede çeşitli olsalar da genelde çok daha temiz bir kullanım sunuyor
Aegis’i birkaç yıldır kullanıyorum ve hoşuma gitmeyen bir yanını bulamadım. Kusursuz işlevsel bir uygulama; yeni güncellemeyi denemeyi dört gözle bekliyorum
Yakın zamanda büyük bir güncellemeyle UI/UX’i çok daha kötü hale gelen iki açık kaynak uygulama gördüm. Elbette bazı insanlar bu değişiklikleri sevmiş olabilir, ama biri masaüstündeki Gajim XMPP istemcisiydi, diğeri de mobildeki Breathly nefes rehberi uygulamasıydı
Şu anda 2FAS’i memnuniyetle kullanıyorum; Aegis ile karşılaştırınca nasıl olduğunu merak ediyorum
Kısaca bakınca Aegis’in birden fazla cihazı desteklemediği ve masaüstünde de kullanılamadığı anlaşılıyor
https://2fas.com/
Telefonu da her zaman yanımda taşıyan biri değilim