8 votos

AdLinux avatar

FreeOTP o FreeOTP+ - ¿Cuál es más seguro?

Preguntado el 23 de Febrero, 2020
Cuando se hizo la pregunta
762 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

He estado usando FreeOTP de Redhat/Fedora durante algunos años como mi principal aplicación de autenticación bidireccional. Sin embargo, me he dado cuenta de que la versión actual (1.5) tiene bastantes años (fue lanzada en 2016).

https://freeotp.github.io/

https://f-droid.org/packages/org.fedorahosted.freeotp/

Sin embargo, existe una versión bifurcada: FreeOTP+. La última actualización de este fork (1.7) salió en diciembre de 2019, por lo que está mucho más actualizada que la aplicación upstream.

https://f-droid.org/en/packages/org.liberty.Android.freeotpplus/

Sin embargo, me preocupa la seguridad, ya que la aplicación juega un papel muy importante en la seguridad de la cuenta. También estoy inseguro, ya que no estoy muy familiarizado con el trabajo/confianza del desarrollador del fork (me refiero a él/ella sin ánimo de ofender cuando digo esto, sólo soy cauteloso cuando se trata de la seguridad de la cuenta), mientras que sé que Redhat es una empresa segura y que respeta la libertad.

¿Cuál sería la opción más segura? ¿Debería seguir con el antiguo FreeOTP? ¿Las aplicaciones de autenticación bidireccional deben tener parches de seguridad actualizados? ¿O puedo confiar en la más actualizada FreeOTP+?

Además, aunque aprecio la ayuda y las buenas intenciones de las personas que recomiendan esto; pero por favor no me recomienden que use los autenticadores de Google o Microsoft en su lugar. Quiero usar una aplicación de autenticación de código libre/abierto en lugar de una propietaria.

Preguntado el 23 de Febrero, 2020 por AdLinux

0 votos

Avatar de pr0nin

En una revisión rápida de los últimos commits de ambos proyectos no he visto ningún commit que apunte a un problema de seguridad. El proyecto original de FreeOTP no ha publicado nada en los últimos años, sin embargo sigue desarrollándose activamente en Github. Por lo tanto, existe la tercera opción de clonar el repo y construir su propia versión.

Comentado el 23 de Febrero, 2020 por pr0nin

0 votos

Avatar de AdLinux

@Robert hey gracias hombre, así que cualquiera de las opciones son buenas opciones?

Comentado el 24 de Febrero, 2020 por AdLinux

Respuesta

¿Demasiados anuncios?

8voto

fossdd avatar
fossdd Puntos 66

En general, diría que ambos son seguros.

FreeOTP : Desarrollado por Fedora por RedHat. Así que por una empresa de propiedad. Pero es de código abierto para todos, lo que significa que si hubiera filtraciones a RedHat la Comunidad FLOSS lo reportaría a F-Droid y a las páginas de noticias. Eso sería un gran escándalo para RedHat y mucha gente perdería la confianza en Fedora. Segundo, no tiene mantenimiento. Entregan algunos commits, pero no versiones que F-Droid pueda construir. Supongo que OTP no ofrece problemas de seguridad.

FreeOTP+ : Un fork mantenido de FreeOTP. Está desarrollado por una persona privada, Howard Liberty. Ofrece actualizaciones. Pero al igual que en FreeOTP, la comunidad encontraría problemas si su pricacy no es seguro. F-Droid desactivaría estas versiones (si encuentran algunos problemas).

Pero también hay otras aplicaciones 2FA que son de código abierto (y se pueden instalar en el repo oficial de F-Droid):

Autenticador OTP : Un cliente básico, pero que no ofrece nuevos comandos. Desarrollado por Bruno Bierbaumer. Último commit/release en Dic 23, 2015.

yOTP : Bifurcación activa de OTP Authenticator. Continúan con el upstream. La última versión fue el 28 de octubre de 2020. Pero ofrecen nuevos commits. Tiene una gran comunidad en GitHub (2.8k estrellas). El desarrollador principal es Jakob Nixdorf.

Autentificador Aegis : Este es el 2FA de Alexander Bakker y Michael Schättgen. En mi opinión parece un poco propio, pero no tiene ningún rastreador ya que está disponible en F-Droid. Tiene 1,6 estrellas en GitHub.

(Google) Authenticator : Usted triste que no desea que el Autenticador de Google como respuesta. Pero esta aplicación es de Google y es de código abierto. La última versión de F-Droid fue en 2012. Pero su repositorio ofrece commits y releases de 2019. Este es un "fork" de la prop. Google Authenticator disponible en la prop. Play Store. No es seguro, si hay una base de código de la aplicación oficial o recibe actualizaciones por el prop. App. No estoy seguro, si hay rastreadores. (Pero creo que sí.)

Personalmente uso FreeOTP+. Pero también puedo sugerir andOTP. Estoy buscando cambiar a cotp. cotp es una herramienta de línea de comandos desarrollada para el ordenador. Y tal vez se pueda utilizar con Termux

Respondido el 14 de Febrero, 2021 por fossdd (66 Puntos )

0 votos

Avatar de peterh

Wow, excelente respuesta. ¡Bienvenido a Android SE!

Comentado el 15 de Febrero, 2021 por peterh

1 votos

Avatar de Sane

En caso de que desee pasar de FreeOTP a un nuevo y mejor FreeOTP+, aquí hay un nodejs script que convierte tokens.xml a un archivo json para ser importado en FreeOTP+: gitlab.com/sid-the-sloth/conversion-scripts/-/blob/master/

Comentado el 4 de Marzo, 2021 por Sane

0 votos

Avatar de AdLinux

¡Brillante respuesta! Gracias.

Comentado el 26 de Abril, 2021 por AdLinux

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

PreguntAndroid.com

PreguntAndroid es una comunidad de usuarios de Android en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X