One-Time Secret(ワンタイムシークレット)は、開発者であるデラノ氏によって作られた、機密情報を安全に共有するための方法であり、2012年に登場して以来、同社のオープンソースコードを利用した似たようなアプリやサービスが多数誕生しています。
個人や企業にとって最大の課題の1つに、「パスワードの安全な共有」があります。多くはメール、スプレッドシート、メッセージングアプリを使ったパスワードの共有が行われていますが、このような方法は、パスワードが簡単にコピーや共有されたりすることで、誰が自分の認証情報にアクセスできるかをコントロールできない点が問題です。
One-Time Secret は、このパスワード共有の課題を解決するものですが、実際に One-Time Secret はこの課題を解決しているのでしょうか?また、 One-Time Secret はパスワードマネージャーに代わる存在になるのでしょうか?
そこで本記事では、One-Time Secret について解説し、安全なパスワードマネージャーを使ったパスワードの共有方法について見ていきます。
TeamPassword は、安全な認証情報共有のために作られたパスワードマネージャーです。14日間の無料トライアルをぜひお試しください。
One-Time Secret とは?その仕組みは?
One-Time Secret は、パスワードや重要なメモを共有するためのツールです。メールやテキスト、メッセージングアプリでパスワードを送る代わりに、One-Time Secret を使って、メッセージを開くためのリンクとパスワードを送ります。
受信者がリンクアドレスにアクセスする場合、パスワード入力が必要であり、正しいパスワードを入力すると共有した情報が画面上に表示され、受信者が読むことができます。リンクが機能するのは一度だけで、その後は永久的に消えます。
また、One-Time Secret は、受信者がメッセージを開かなかった場合、「自動的に無効化」されるまでの期限を設定することもできます。期限は5分から数日間まで設定可能です。
以下はその使用例です。
- 経理担当者は、会社の銀行口座の認証情報の共有が必要ですが、テキストやメールでの送信は避けたいと思っています。
- そこで、銀行口座の認証情報と、メッセージを開くための「1回だけ有効なパスワード」を含む One-Time Secret のメッセージを作成します。その際に送信者は、これが非常に重要な情報であることから、 One-Time Secret を1時間で自動消滅するように設定します。
- 受信者の会社のメールアドレスに One-Time Secret のリンクを送信します。ここでは、One-Time Secret のメッセージが第三者に盗まれるのを防ぐために、電話や他の媒体でのパスワードの共有をすることがあります。
- 受信者がリンクを開き、パスワードを入力すると、銀行口座の認証情報が画面に表示されます。
- 受信者は銀行口座の情報を安全な場所にコピーし、ブラウザを閉じると同時にOne-Time Secret のメッセージを削除します。
- ちなみに、リンクを再度クリックすると「パスワードが不明です。存在しないか、すでに閲覧されています。」 というエラーメッセージが表示されます。
送信者は、送信を取り消すこともできますが、それは受信者がメッセージを見る前に限ります。
One-Time Secret の管理場所
Onetimesecret.com は、One-Time Secret のオリジナルのアプリケーションですが、コードがオープンソースであるため、似たようなウェブサイトで同じサービスがいくつか提供されています。
One-Time Secret のアプリの多くは無料ですが、有料プランに移行する前にパスワードの無料送信の回数を制限しているものもあります。
One-Time Secret のアプリには、データを入力するための基本的なテキストフィールドが備わっていますが、表やリストの作成、文書の挿入のための「WYSIWYGエディタ」が提供されているものもあります。
One-Time Secret で共有される情報
One-Time Secret を使って、さまざまなデータが送られますが、以下は、One-Time Secret でよく送られる情報です。
- パスワードの共有
- クレジットカードの詳細
- API キー
- 機密性の高いコードやアルゴリズム
- 機密性の高い、追跡不可能なメモの共有
One-Time Secret アプリの中には、文書や画像を共有できるものがありますが、それは、保存されたメタデータから追跡可能であり、「匿名で1回きりである」という目的が破られてしまうという問題があります。
One-Time Secret はパスワードマネージャーの代替として有効か
簡単に言うと、答えは「No」です。One-Time Secret はパスワードマネージャーに取って代わるほどの物ではありません。
理由は以下の3つです。
1. One-Time Secret は、パスワード共有の問題を解決するものではないため。メッセージサービス上で生の認証情報を共有することに変わりはなく、受信者がパスワードをどこに保存するか、誰にそれを見られるかもわかりません。
2. チームメンバーでパスワードを共有する場合、One-Time Secret は非常に非効率的で安全ではないため。パスワード送信の必要があるたびに One-Time Secretのパスワードを作成するのは時間がかかるうえ、認証情報が何度か共有されると、パスワードはブラウザに保存されたり、紙に書かれたり、デジタルメモに保存されたりすることになり、メールで送るのと同じようなことになってしまいます。
3. フリーランサーとパスワードを共有する場合、One-Time Secretのパスワードの使用は、メールやテキストを使うよりも良くないため。フリーランサーが去るとき、彼らにはまだアカウントへのアクセス権が残っています。そうなると、彼らが去った後は、1)パスワード変更 と、2)その新しい認証情報の他のチームメンバーとの共有 という作業がその都度必要になります。
パスワードマネージャーとOne-Time Secret の違い
One-Time Secret は、「パスワードマネージャー」というより、「メッセージサービス」です。パスワードマネージャーではパスワードの保存や呼び出しができますが、One-Time Secret ではできません。
TeamPassword では、パスワードを使う人は完全に管理され、そのアクティビティは追跡が可能です。一方、One-Time Secret を使って一度パスワードが共有されると、その情報の行方や使う人はわからなくなります。
One-Time Secret では、弱いパスワードや複数のアカウントでの同じ認証情報の使い回しを防ぐことはできませんが、TeamPassword には安全なパスワード生成機能が組み込まれており、アカウントにログインするたびにユニークで安全なパスワードを作成することができます!
企業に共通するパスワードの脆弱性
サイバー攻撃やパスワードツールの増加、メディアによる警告が後を絶たないにもかかわらず、多くの企業でパスワード管理の不備がまかり通っています。
そのため、TeamPassword では、 認証情報を安全に共有する方法を14日間の無料トライアルでご体験いただくことを常時オススメしています。
以下で、2021年の初頭に書いた記事である「Top Five Mistakes When Sharing Passwords with Your Team(パスワードをチーム内で共有する際の失敗例トップ5)」の一部を日本語に翻訳してご紹介します。
失敗1:脆弱なパスワード
脆弱なパスワードは大きなリスクになります。「P@$$w0rd123」というパスワードは一見複雑に見えますが、「password123」と何ら変わりはありません。このような単純なパスワードは、よくハッカーのブルートフォース攻撃(総当たり攻撃)で最初に対象とされやすいものです。
多くの人々は、文字を記号に置き換えるだけで強力なパスワードが作れると信じています。これはある程度の安全性を提供しますが、それでも推測は簡単なままなのです。
複数のクライアントアカウントを管理している企業は、クライアント(Client)の名前(Name)をパスワードに使うことも避けるべきです。例えば、クライアントの Instagram アカウントのclientnameIn$t@gr@mは、記号を含んでいて安全そうに見えるかもしれませんが、このように文字や記号を変える(clientnameInstagram → clientnameIn$t@gr@m)のはハッカーにとっては想定内なのです。
そのため企業は、大文字、小文字、数字、記号を含むランダムな文字を使った、最低12文字の強固なパスワードを作成すべきです。
そこで、TeamPassword だとパスワードジェネレータが内蔵されており、強固なパスワードをあっという間に自動生成してくれるので、もう弱いパスワードに悩まされることもありません!
失敗2:パスワードを平文(プレーンテキスト)で保存
「パスワードの平文での保存」はブラウザへのパスワード保存や、One-Time Secret での認証情報の送信も当然含まれますが、これは会社の認証情報を誰でも閲覧、使用、共有できるということです。
企業では、スプレッドシートを使って認証情報を保存・共有して、数百もの顧客アカウントを管理することがよくありますが、スプレッドシートは誰でもコピーすることができ、あなたが知らないうちに共有されることもあり得ます。
平文パスワードの保管は極めて怠慢であり、国や地域によっては規制の違反になり、起訴や罰金につながる可能性があります。
TeamPassword のパスワードマネージャーは、安全なホスティングプロバイダーとして認定されており、パスワードを閲覧する方法がないため、会社やクライアントの認証情報がさらけ出される心配がありません。
失敗3:パスワードの使い回し
脆弱なパスワードと同様に、認証情報の使い回しは、サイバーセキュリティ上のもう一つの重大な脆弱性を生み出します。
攻撃者は、ある情報漏えい事件で盗まれたパスワードを利用して、他のアカウントやアプリケーションへのアクセスを試みる「クレデンシャル・スタッフィング」と呼ばれるプロセスをよく行います。
複数のアカウントで同じパスワードが使いまわされている場合、攻撃者は認証情報を1つ盗むだけで、他の全アカウントにアクセスできてしまうのです。
TeamPassword に内蔵されたパスワードマネージャーだと、一意のパスワードが確実にチームの各アカウントに作成され、大文字、小文字、記号、数字を使ったパスワードを12~32文字の間で選択することができます。
失敗4:「記憶する」機能の使用
ウェブサイトやアプリケーションの多くには、「記憶する」というチェックボックスの機能があり、「ログイン状態を14日間保持する」というように期間が定められているようなものもあります。
この「記憶する」機能は、もし従業員の端末が盗まれた場合、犯人はそのブラウザの履歴から会社のアカウントを探してログインできてしまうという問題があります。
ブラウザにパスワードを保存する場合にも同じ問題が当てはまります。従業員のブラウザの認証情報が盗まれたら、その保存されている全パスワードにもアクセスできてしまうのです。
でも TeamPassword があれば、認証情報は全て暗号化され、安全に保存されます。従業員はSafari、Chrome、Firefoxのブラウザの拡張機能を使ってサインインするため、パスワードが TeamPassword から離れることはありません。また、2FA(二要素認証 )が第二の認証ステップを作成し、従業員の TeamPassword 認証情報が盗まれたとしても、完全な侵害を防止します。
失敗5:パスワードの変更
企業はセキュリティ対策として、パスワードの頻繁な変更を試みることがよくありますが、従業員の長期にわたるパスワードの使い回しや、アカウント間のパスワードのすり替えが多い点が問題です。
パスワードマネージャーを使っていないと、認証情報は常に従業員に共有されているため、変更を追跡するのは困難です。そしてそれが多くのサイバーセキュリティの脆弱性を露呈しているのです!
TeamPassword があれば、パスワードの定期的な更新ができ、従業員への伝達すら必要ありません。パスワードマネージャーがユーザーの認証情報を全て更新するので、仕事が中断されることはありません。
パスワード管理ルールを14日間お試し
チームメンバーとのより良いパスワード共有方法をお探しですか?
TeamPassword でパスワード共有の簡単さと安全性を、14日間の無料トライアルにてぜひご体験ください。
