One-Time Secret は、開発者であるデラノ氏によって作られた、機密情報を安全に共有するための方法であり、2012年に登場して以来、同社のオープンソースコードを利用した似たようなアプリやサービスが多数誕生しています。
個人や企業にとって最大の課題の1つに、「パスワードの安全な共有」があります。多くはメール、スプレッドシート、メッセージングアプリを使ったパスワードの共有が行われていますが、このような方法は、パスワードが簡単にコピーや共有されたりすることで、誰が自分の認証情報にアクセスできるかをコントロールできない点が問題です。
One-Time Secret は、このパスワード共有の課題を解決するものですが、実際に One-Time Secret はこの問題を解決しているのでしょうか?また、 One-Time Secret はパスワードマネージャに代わるようないい物なのでしょうか?
そこで本記事では、One-Time Secret について解説し、安全なパスワードマネージャを使ったパスワードの共有方法について見ていきます。
TeamPassword は、安全な資格情報共有のために作られたパスワードマネージャです。14日間の無料トライアルをぜひお試しください。
ワンタイムシークレットとは、その仕組みとは
One-Time Secret は、パスワードや重要なメモを共有するためのツールです。メールやテキスト、メッセージアプリでパスワードを送る代わりに、One-Time Secret を使って、代わりにメッセージを開くためのリンクとパスワードを送ります。
受信者がリンクアドレスにアクセスする場合、パスワード入力が必要であり、そうすると共有した情報が画面上に表示され、受信者が読むことができます。リンクが機能するのは一度だけで、その後は永久的に消えます。
また、その「1回こっきりの秘密」は、相手が読まなくても「自動消滅」するまでの時間を、5分から数日間まで設定することができます。
以下はその使用例です:
- 経理担当者は、会社の銀行口座の認証情報の共有が必要ですが、テキストやメールでの送信は避けたいと思っています。
- そこで、銀行口座の認証情報と、メッセージを開くための「1回だけ有効なパスワード」を含む One-Time Secret のメッセージを作成します。その際に送信者は、これが非常に重要な情報であることから、 One-Time Secret を1時間で自動消滅するように設定します。
- 受信者の会社のメールアドレスに One-Time Secret のリンクを送信します。ここでは、One-Time Secret のメッセージが第三者に盗まれるのを防ぐために、電話や他の媒体でのパスワードの共有をすることがあります。
- 受信者がリンクを開き、パスワードを入力すると、銀行口座の認証情報が画面に表示されます。
- 受信者は銀行口座の情報を安全な場所にコピーし、ブラウザを閉じると同時にOne-Time Secret のメッセージを削除します。
- 因みに、リンクを再度クリックすると「パスワードが不明です。存在しないか、すでに閲覧されています。」 というエラーメッセージが表示されます。
送信者は、送信を取り消したい時には「秘密を廃棄する」ことができますが、それは受信者がそれを見る前に限ります。
「1回こっきりの秘密」の管理場所
Onetimesecret.com は、One-Time Secret のオリジナルのアプリケーションですが、コードがオープンソースであるため、似たようなウェブサイトで同じサービスがいくつか提供されています。
One-Time Secret のアプリの多くは無料ですが、有料プランに移行する前にパスワードの無料送信の回数を制限しているものもあります。
One-Time Secret のアプリには、データを入力するための基本的なテキストフィールドが備わっていますが、表やリストの作成や、文書の挿入のための「WYSIWYGエディタ」が提供されているものもあります。
One-Time Secret で共有される情報
One-Time Secret を使って、さまざまなデータが送られますが、以下は、One-Time Secret でよく送られる情報です:
- パスワードの共有
- クレジットカードの詳細
- API キー
- 機密性の高いコードやアルゴリズム
- 機密性の高い、追跡不可能なメモの共有
One-Time Secret アプリの中には、文書や画像を共有できるものがありますが、それは、保存されたメタデータから追跡可能であり、「匿名で1回こっきりである」という目的が破られてしまうという問題があります。
One-Time Secret はパスワードマネージャの代替品として有効か
簡単に言うと、答えは「No」です。One-Time Secret はパスワードマネージャに取って代わるようないい物ではありません。
1. One-Time Secret は、パスワード共有の問題を解決するものではありません。メッセージサービス上で生の認証情報を共有することに変わりはなく、受信者がパスワードをどこに保存するか、誰にそれを見られるかもわからないのです。
2. チームメンバーでパスワードを共有する場合、One-Time Secret は非常に非効率的で安全ではありません。パスワード送信の必要があるたびに One-Time Secretのパスワードを作成するのは時間を食いますし、認証情報が何度か共有されると、パスワードはブラウザに保存されたり、紙に書かれたり、デジタルメモに保存されたりすることになり、メールで送るのと同じようなことになってしまいます。
3. フリーランサーとパスワードを共有する場合、One-Time Secretのパスワードの使用は、メールやテキストを使うよりもよくありません。フリーランサーが去るとき、彼らにはまだアカウントへのアクセス権が残っています。そうなると、彼らが去った後は、1)パスワード変更 と、2)その新しい認証情報の他のチームメンバーとの共有 という作業が都度必要になります。
パスワードマネージャとOne-Time Secret の違い
One-Time Secret は、「パスワードマネージャ」というより、「メッセージサービス」です。パスワードマネージャではパスワードの保存や呼び出しができますが、One-Time Secret ではできません。
TeamPassword では、パスワードを使う人は完全に管理され、そのアクティビティは追跡が可能です。一方、One-Time Secret を使って一度パスワードが共有されると、その情報の行方や使う人はわからなくなります。
One-Time Secret では、弱いパスワードや複数のアカウントでの同じ認証情報の使い回しを防ぐことはできませんが、TeamPassword には安全なパスワード生成機能が組み込まれており、アカウントにログインするたびにユニークで安全なパスワードを作成することができます!
企業に共通するパスワードの脆弱性
サイバー攻撃やパスワードツールの増加、メディアによる警告が後を絶たないにもかかわらず、多くの企業でパスワード管理の不備がまかり通っています。
なので TeamPassword では、 認証情報を安全に共有する方法を14日間の無料トライアルでご体験していただくことを常時オススメしています。
以下に、2021年の初頭に書いた記事である「Top Five Mistakes When Sharing Passwords with Your Team(パスワードをチーム内で共有する際の失敗例トップ5)」の再録をご紹介します。
失敗1:脆弱なパスワード
脆弱なパスワードは重要な問題です。「[email protected]$$w0rd123」というパスワードは一見複雑に見えますが、「password123」と何ら変わりはありません。このような明白なパスワードは、よくハッカーのブルートフォース攻撃(総当たり攻撃)で最初に実行されるものです。
多くは、文字を記号に置き換えるだけで強力なパスワードが作れると信じています。これはある程度の安全性を提供しますが、それでも推測は簡単ですよね。
複数のクライアントアカウントを管理している企業は、クライアント(Client)の名前(Name)をパスワードに使うことも避けるべきです。例えば、クライアントの Instagram アカウントの[email protected]@mは、記号で安全そうに見えるかもしれませんが、このように文字や記号を変える(clientnameInstagram → [email protected]@m)のはハッカーにとっては想定内です。
なので企業は、大文字、小文字、数字、記号を含むランダムな文字を使った、最低12文字の強固なパスワードを作成すべきです。
そこで、TeamPassword だとパスワードジェネレータが内蔵されているので、もう弱いパスワードに悩まされることはありません!
失敗2:パスワードを平文(プレーンテキスト)で保存
「パスワードの平文での保存」はブラウザへのパスワード保存や、One-Time Secret での認証情報の送信も当然含まれますが、これは会社の認証情報を誰でも閲覧、使用、共有できるということです。
企業では、スプレッドシートを使って認証情報を保存・共有して、数百もの顧客アカウントを管理することがよくありますが、スプレッドシートは誰でもコピーすることができ、あなたが知らないうちに共有されることもあり得ます。
平文パスワードの保管は極めて怠慢であり、州や国によっては規制の違反になり、起訴や罰金につながる可能性があります。
TeamPassword のパスワードマネージャは、安全なホスティングプロバイダとして認定されており、パスワードを閲覧する方法がないため、会社やクライアントの認証情報がさらけ出される心配がありません。
失敗3:パスワードの使い回し
脆弱なパスワードと同様に、認証情報の使い回しは、サイバーセキュリティ上のもう一つの重大な脆弱性を生み出します。
攻撃者は、ある情報漏えい事件で盗まれたパスワードを利用して、他のアカウントやアプリケーションへのアクセスを試みる「クレデンシャル・スタッフィング」と呼ばれるプロセスをよく行います。
複数のアカウントで同じパスワードが使いまわされている場合、攻撃者は認証情報を1つ盗むだけで、他の全アカウントにアクセスできてしまうのです。
TeamPassword に内蔵されたパスワードマネージャだと、一意のパスワードが確実にチームの各アカウントに作成され、大文字、小文字、記号、数字を使ったパスワードを12~32文字の間で選択することができます。
失敗4:「記憶する」機能の使用
ウェブサイトやアプリケーションの多くには、「記憶する」というチェックボックスの機能があり、「ログイン状態を14日間保持する」というように期間が定められているようなものもあります。
この「記憶する」機能は、もし従業員の端末が盗まれた場合、犯人はそのブラウザの履歴から会社のアカウントを探してログインできてしまうという問題があります。
ブラウザにパスワードを保存する場合にも同じ問題が当てはまります。従業員のブラウザの認証情報が盗まれたら、その保存されている全パスワードにもアクセスできてしまうのです。
でも TeamPassword があれば、認証情報は全て暗号化され、安全に保存されます。従業員はSafari、Chrome、Firefoxのブラウザの拡張機能を使ってサインインするため、パスワードが TeamPassword から離れることはありません。また、2FA(二要素認証 )が第二の認証ステップを作成し、従業員の TeamPassword 認証情報が盗まれたとしても、完全な侵害を防止します。
失敗5:パスワードの変更
企業はセキュリティ対策として、パスワードの頻繁な変更を試みることがよくありますが、従業員の長期にわたるパスワードの使い回しや、アカウント間のパスワードのすり替えが多い点が問題です。
パスワードマネージャを使っていないと、認証情報は常に従業員に共有されているため、変更を追跡するのは困難です。そしてそれが多くのサイバーセキュリティの脆弱性を露呈しているのです!
TeamPassword があれば、パスワードの定期的な更新ができ、従業員への伝達すら必要ありません。パスワードマネージャがユーザーの認証情報を全て更新するので、仕事が中断されることはありません。
パスワード管理ルールを14日間お試し
チームメンバーとのより良いパスワード共有方法をお探しでしたら、One-Time Secret やその他の安全でない方法でのパスワード共有は忘れてください。
その代わりに、TeamPassword でのパスワード共有の簡単さと安全性を、14日間の無料トライアルでぜひご体験ください。