Aegis v3.0 – 一款适用于 Android 的免费、安全、开源 2FA 应用
对 Aegis 的总体评价
- 许多用户广泛称赞它打磨精良、可靠,而且“无懈可击”。
- 其免费、开源、由社区驱动且不依赖大型厂商的特点备受重视。
- 许多人认为它足以胜任关键 2FA,但也有人指出认证器尤其敏感,希望更深入了解其历史。
功能、备份与迁移
- 主要优势:默认仅本地存储、强加密、可选应用专用密码、导入/导出、分组/文件夹、搜索、按使用情况排序、图标、Material 3 界面,以及即使在低端 Android 设备上也有良好性能。
- 备份选项:按需加密 JSON 导出、自动本地备份、可选 Android/Google 云备份,以及可通过 Syncthing 或第三方云等工具同步加密备份。
- Aegis 可以导入 andOTP 备份;一些用户从 andOTP(现已停止维护)以及 FreeOTP、Authy 等其他应用迁移过来,几乎没有问题。
与其他认证器的比较
- 与 Google Authenticator 和 Authy 相比的积极对照:Aegis 是 FOSS,不绑定手机号,不会天然进行云同步,并且备份/恢复直接明了。
- Authy 因厂商锁定、没有官方备份/导出,以及桌面应用被停止而受到批评。
- 有些人更喜欢 KeePass/Bitwarden/2FAS 等把密码+TOTP 集成在一起;另一些人则不喜欢把多个因素收拢到一个工具里。
云同步、Google Authenticator 与 Retool
- 有人担心 Google Authenticator 的云同步会将 TOTP 密钥暴露给新的攻击路径,并且在 Retool 泄露事件中作为一层被涉及。
- 对 GA 应承担多大责任存在分歧:有人认为它只是“瑞士奶酪里的又一个洞”;也有人强调 TOTP 本身就容易被钓鱼,并主张改用 WebAuthn/passkeys。
- 云同步被描述为可选择开启,但也因带有暗黑模式的引导流程和不清晰的控制而受到批评。
2FA 的用户体验、安全模型与替代方案
- 常见抱怨:管理几十个 TOTP 代码很笨拙;SMS 2FA 不可靠且不安全。
- Aegis 的缓解措施:搜索、分组、图标和排序。
- 对最佳模型的争论:
- 有些人把 TOTP 放在密码管理器里以求方便;另一些人坚持严格分离,以保留真正的多因素认证。
- 有人认为 TOTP 相较于抗钓鱼方法(WebAuthn、passkeys、硬件密钥)已经“过时”;但也有人仍然认为 TOTP 实用且有益。
- 更广泛的担忧是普通用户会觉得这一切都很混乱,如果手机或账户丢失,存在严重的锁定风险。