Quotes Icon

Andrew M.

Andrew M.

オペレーション担当副社長

"私たちは小規模な非営利団体のためにTeamPasswordを使用していますが、私たちのニーズにうまく対応しています。"

今すぐ始める

Table Of Contents

    One time secret

    「One-Time Secret」とは?

    April 19, 20231 min read

    サイバーセキュリティ

    One-Time Secret(‏‏ワンタイムシークレット)は、開発者であるデラノ氏によって作られた、機密情報を安全に共有するための方法であり、2012年に登場して以来、同社のオープンソースコードを利用した似たようなアプリやサービスが多数誕生しています。

    個人や企業にとって最大の課題の1つに、「パスワードの安全な共有」があります。多くはメール、スプレッドシート、メッセージングアプリを使ったパスワードの共有が行われていますが、このような方法は、パスワードが簡単にコピーや共有されたりすることで、誰が自分の認証情報にアクセスできるかをコントロールできない点が問題です。

    One-Time Secret は、このパスワード共有の課題を解決するものですが、実際に One-Time Secret はこの課題を解決しているのでしょうか?また、 One-Time Secret はパスワードマネージャーに代わる存在になるのでしょうか?

    そこで本記事では、One-Time Secret について解説し、安全なパスワードマネージャーを使ったパスワードの共有方法について見ていきます。

    TeamPassword は、安全な認証情報共有のために作られたパスワードマネージャーです。14日間の無料トライアルをぜひお試しください。

    Table of Contents

      One-Time Secret とは?その仕組みは?

      One-Time Secret は、パスワードや重要なメモを共有するためのツールです。メールやテキスト、メッセージングアプリでパスワードを送る代わりに、One-Time Secret を使って、メッセージを開くためのリンクとパスワードを送ります。

      受信者がリンクアドレスにアクセスする場合、パスワード入力が必要であり、正しいパスワードを入力すると共有した情報が画面上に表示され、受信者が読むことができます。リンクが機能するのは一度だけで、その後は永久的に消えます。

      また、One-Time Secret は、受信者がメッセージを開かなかった場合、「自動的に無効化」されるまでの期限を設定することもできます。期限は5分から数日間まで設定可能です。

      以下はその使用例です。

      1. そこで、銀行口座の認証情報と、メッセージを開くための「1回だけ有効なパスワード」を含む One-Time Secret のメッセージを作成します。その際に送信者は、これが非常に重要な情報であることから、 One-Time Secret を1時間で自動消滅するように設定します。
      2. 受信者の会社のメールアドレスに One-Time Secret のリンクを送信します。ここでは、One-Time Secret のメッセージが第三者に盗まれるのを防ぐために、電話や他の媒体でのパスワードの共有をすることがあります。
      3. 受信者がリンクを開き、パスワードを入力すると、銀行口座の認証情報が画面に表示されます。
      4. 受信者は銀行口座の情報を安全な場所にコピーし、ブラウザを閉じると同時にOne-Time Secret のメッセージを削除します。
      5. ちなみに、リンクを再度クリックすると「パスワードが不明です。存在しないか、すでに閲覧されています。」 というエラーメッセージが表示されます。

      送信者は、送信を取り消すこともできますが、それは受信者がメッセージを見る前に限ります。
      ‏‏‎ 

      ‎One-Time Secret の管理場所

      Onetimesecret.com は、One-Time Secret のオリジナルのアプリケーションですが、コードがオープンソースであるため、似たようなウェブサイトで同じサービスがいくつか提供されています。

      One-Time Secret のアプリの多くは無料ですが、有料プランに移行する前にパスワードの無料送信の回数を制限しているものもあります。

      One-Time Secret のアプリには、データを入力するための基本的なテキストフィールドが備わっていますが、表やリストの作成、文書の挿入のための「WYSIWYGエディタ」が提供されているものもあります。

      One-Time Secret で共有される情報

      One-Time Secret を使って、さまざまなデータが送られますが、以下は、One-Time Secret でよく送られる情報です。

      One-Time Secret アプリの中には、文書や画像を共有できるものがありますが、それは、保存されたメタデータから追跡可能であり、「匿名で1回きりである」という目的が破られてしまうという問題があります。

      One-Time Secret はパスワードマネージャーの代替として有効か

      簡単に言うと、答えは「No」です。One-Time Secret はパスワードマネージャーに取って代わるほどの物ではありません。

      理由は以下の3つです。

      1. One-Time Secret は、パスワード共有の問題を解決するものではないため。メッセージサービス上で生の認証情報を共有することに変わりはなく、受信者がパスワードをどこに保存するか、誰にそれを見られるかもわかりません。

      2. チームメンバーでパスワードを共有する場合、One-Time Secret は非常に非効率的で安全ではないため。パスワード送信の必要があるたびに One-Time Secretのパスワードを作成するのは時間がかかるうえ、認証情報が何度か共有されると、パスワードはブラウザに保存されたり、紙に書かれたり、デジタルメモに保存されたりすることになり、メールで送るのと同じようなことになってしまいます。

      3. フリーランサーとパスワードを共有する場合、One-Time Secretのパスワードの使用は、メールやテキストを使うよりも良くないため。フリーランサーが去るとき、彼らにはまだアカウントへのアクセス権が残っています。そうなると、彼らが去った後は、1)パスワード変更 と、2)その新しい認証情報の他のチームメンバーとの共有 という作業がその都度必要になります。

      パスワードマネージャーとOne-Time Secret の違い

      One-Time Secret は、「パスワードマネージャー」というより、「メッセージサービス」です。パスワードマネージャーではパスワードの保存や呼び出しができますが、One-Time Secret ではできません。

      TeamPassword では、パスワードを使う人は完全に管理され、そのアクティビティは追跡が可能です。一方、One-Time Secret を使って一度パスワードが共有されると、その情報の行方や使う人はわからなくなります。

      One-Time Secret では、弱いパスワードや複数のアカウントでの同じ認証情報の使い回しを防ぐことはできませんが、TeamPassword には安全なパスワード生成機能が組み込まれており、アカウントにログインするたびにユニークで安全なパスワードを作成することができます!

      企業に共通するパスワードの脆弱性

      サイバー攻撃やパスワードツールの増加、メディアによる警告が後を絶たないにもかかわらず、多くの企業でパスワード管理の不備がまかり通っています。

      そのため、TeamPassword では、 認証情報を安全に共有する方法を14日間の無料トライアルでご体験いただくことを常時オススメしています。

      以下で、2021年の初頭に書いた記事である「Top Five Mistakes When Sharing Passwords with Your Team(パスワードをチーム内で共有する際の失敗例トップ5)」の一部を日本語に翻訳してご紹介します。

      失敗1:脆弱なパスワード

      脆弱なパスワードは大きなリスクになります。「P@$$w0rd123」というパスワードは一見複雑に見えますが、「password123」と何ら変わりはありません。このような単純なパスワードは、よくハッカーのブルートフォース攻撃(総当たり攻撃)で最初に対象とされやすいものです。

      多くの人々は、文字を記号に置き換えるだけで強力なパスワードが作れると信じています。これはある程度の安全性を提供しますが、それでも推測は簡単なままなのです。

      複数のクライアントアカウントを管理している企業は、クライアント(Client)の名前(Name)をパスワードに使うことも避けるべきです。例えば、クライアントの Instagram アカウントのclientnameIn$t@gr@mは、記号を含んでいて安全そうに見えるかもしれませんが、このように文字や記号を変える(clientnameInstagram → clientnameIn$t@gr@m)のはハッカーにとっては想定内なのです。

      そのため企業は、大文字、小文字、数字、記号を含むランダムな文字を使った、最低12文字の強固なパスワードを作成すべきです。

      そこで、TeamPassword だとパスワードジェネレータが内蔵されており、強固なパスワードをあっという間に自動生成してくれるので、もう弱いパスワードに悩まされることもありません!

      失敗2:パスワードを平文(プレーンテキスト)で保存

      「パスワードの平文での保存」はブラウザへのパスワード保存や、One-Time Secret での認証情報の送信も当然含まれますが、これは会社の認証情報を誰でも閲覧、使用、共有できるということです。

      企業では、スプレッドシートを使って認証情報を保存・共有して、数百もの顧客アカウントを管理することがよくありますが、スプレッドシートは誰でもコピーすることができ、あなたが知らないうちに共有されることもあり得ます。

      平文パスワードの保管は極めて怠慢であり、国や地域によっては規制の違反になり、起訴や罰金につながる可能性があります。

      TeamPassword のパスワードマネージャーは、安全なホスティングプロバイダーとして認定されており、パスワードを閲覧する方法がないため、会社やクライアントの認証情報がさらけ出される心配がありません。

      失敗3:パスワードの使い回し

      脆弱なパスワードと同様に、認証情報の使い回しは、サイバーセキュリティ上のもう一つの重大な脆弱性を生み出します。

      攻撃者は、ある情報漏えい事件で盗まれたパスワードを利用して、他のアカウントやアプリケーションへのアクセスを試みる「クレデンシャル・スタッフィング」と呼ばれるプロセスをよく行います。

      複数のアカウントで同じパスワードが使いまわされている場合、攻撃者は認証情報を1つ盗むだけで、他の全アカウントにアクセスできてしまうのです。

      TeamPassword に内蔵されたパスワードマネージャーだと、一意のパスワードが確実にチームの各アカウントに作成され、大文字、小文字、記号、数字を使ったパスワードを12~32文字の間で選択することができます。

      失敗4:「記憶する」機能の使用

      ウェブサイトやアプリケーションの多くには、「記憶する」というチェックボックスの機能があり、「ログイン状態を14日間保持する」というように期間が定められているようなものもあります。

      この「記憶する」機能は、もし従業員の端末が盗まれた場合、犯人はそのブラウザの履歴から会社のアカウントを探してログインできてしまうという問題があります。

      ブラウザにパスワードを保存する場合にも同じ問題が当てはまります。従業員のブラウザの認証情報が盗まれたら、その保存されている全パスワードにもアクセスできてしまうのです。

      でも TeamPassword があれば、認証情報は全て暗号化され、安全に保存されます。従業員はSafari、Chrome、Firefoxのブラウザの拡張機能を使ってサインインするため、パスワードが TeamPassword から離れることはありません。また、2FA(二要素認証 )が第二の認証ステップを作成し、従業員の TeamPassword 認証情報が盗まれたとしても、完全な侵害を防止します。

      失敗5:パスワードの変更

      企業はセキュリティ対策として、パスワードの頻繁な変更を試みることがよくありますが、従業員の長期にわたるパスワードの使い回しや、アカウント間のパスワードのすり替えが多い点が問題です。

      パスワードマネージャーを使っていないと、認証情報は常に従業員に共有されているため、変更を追跡するのは困難です。そしてそれが多くのサイバーセキュリティの脆弱性を露呈しているのです!

      TeamPassword があれば、パスワードの定期的な更新ができ、従業員への伝達すら必要ありません。パスワードマネージャーがユーザーの認証情報を全て更新するので、仕事が中断されることはありません。

      パスワード管理ルールを14日間お試し

      チームメンバーとのより良いパスワード共有方法をお探しですか?

      TeamPassword でパスワード共有の簡単さと安全性を、14日間の無料トライアルにてぜひご体験ください。

      おすすめの記事

      サイバーセキュリティ1 min
      ディープフェイクとは?悪用の危険性とその対策について解説

      近年、AI(人工知能)の進化に伴い、「ディープフェイク」という新たな技術が注目を集めています。これにより、映像や音声のリアルな再現ができるようになったと同時に、深刻なリスクも増大しています。そこで本記事では、ディープフェイクについて、その悪用例や対策について見ていきます。

      ディープフェイクとは?悪用の危険性とその対策について解説
      サイバーセキュリティ1 min
      水飲み場攻撃|手口や被害事例、企業が行うべき対策とは?

      水飲み場攻撃の手口や被害事例、そして企業が取るべき対策について、詳しく解説します。この攻撃は、特定のウェブサイトを狙い、訪問者のデバイスにマルウェアを仕込む手法で、企業のセキュリティ対策が重要です。

      水飲み場攻撃|手口や被害事例、企業が行うべき対策とは?
      サイバーセキュリティ1 min
      ChatGPTにおける情報漏洩のリスクと対策:安全に利用するためのガイド

      AI技術の進化により、私たちの生活や業務はより便利で効率的になりました。中でもChatGPTはその高い言語処理能力と迅速な対応力で注目されています。今回は、ChatGPTの情報漏洩リスクを下げるために、強力な暗号化と簡単なパスワード管理でセキュリティを強化する方法を解説します。

      ChatGPTにおける情報漏洩のリスクと対策:安全に利用するためのガイド
      サイバーセキュリティ1 min
      インターネットバンキングのセキュリティ|情報を安全に保つための7つのヒント

      近年、インターネットバンキングを好んで利用する人がますます増えていますが、インターネットバンキングには、マルウェアやフィッシング、個人情報の盗難などの重大なセキュリティリスクが潜んでいます。本記事では、インターネット上で安全に財産を管理する方法を解説します。

      インターネットバンキングのセキュリティ|情報を安全に保つための7つのヒント
      パスワードの安全性を高める

      パスワードを生成し、正しく管理させるための最適なソフトウェア

      TeamPassword Screenshot
      facebook social icon
      twitter social icon
      linkedin social icon
      関連記事
      ディープフェイクとは?悪用の危険性とその対策について解説

      サイバーセキュリティ

      October 3, 20241 min read

      ディープフェイクとは?悪用の危険性とその対策について解説

      近年、AI(人工知能)の進化に伴い、「ディープフェイク」という新たな技術が注目を集めています。これにより、映像や音声のリアルな再現ができるようになったと同時に、深刻なリスクも増大しています。そこで本記事では、ディープフェイクについて、その悪用例や対策について見ていきます。

      水飲み場攻撃|手口や被害事例、企業が行うべき対策とは?

      サイバーセキュリティ

      September 26, 20241 min read

      水飲み場攻撃|手口や被害事例、企業が行うべき対策とは?

      水飲み場攻撃の手口や被害事例、そして企業が取るべき対策について、詳しく解説します。この攻撃は、特定のウェブサイトを狙い、訪問者のデバイスにマルウェアを仕込む手法で、企業のセキュリティ対策が重要です。

      ChatGPTにおける情報漏洩のリスクと対策:安全に利用するためのガイド

      サイバーセキュリティ

      September 12, 20241 min read

      ChatGPTにおける情報漏洩のリスクと対策:安全に利用するためのガイド

      AI技術の進化により、私たちの生活や業務はより便利で効率的になりました。中でもChatGPTはその高い言語処理能力と迅速な対応力で注目されています。今回は、ChatGPTの情報漏洩リスクを下げるために、強力な暗号化と簡単なパスワード管理でセキュリティを強化する方法を解説します。

      最新情報をお見逃しなく!

      このような投稿をもっと読みたい方は、ブログを購読してください。

      Promotional image