ワンタイムシークレット(One Time Secret)とは
2012年に ワンタイムシークレット(One Time Secret)が発表されて以来、同社のオープンソースコードを利用した似たようなアプリやサービスが数多く登場しています。
例えばデベロッパーの Delano によって作成されたワンタイムシークレットは、一度しか見ることができないリンクで、通常はメールやチャットでパスワードやプライベートリンクのURLのような機密情報を共有するのに使われます。
(企業や個人にとって)最大の課題のひとつに、パスワードの安全な共有が挙げられます。
多くは、メール、スプレッドシート、メッセージングアプリを使ってパスワードが共有されますが、このような方法だと、パスワードが簡単にコピーされたり共有されしまうという問題があります。
One Time Secret は、このパスワード共有の課題に対する答えとなりますが、それで実際にこの問題が解決するのでしょうか?それとも、ワンタイムシークレットはパスワードマネージャーの良い代替案なのでしょうか。
そこで本記事では、ワンタイムシークレットについて見ていき、安全なパスワードマネージャーを使ってパスワードを共有する一番いい方法について考えていきます。
Table of Contents
ワンタイムシークレットとは、その仕組み
ワンタイムシークレットは、パスワードや機密メモを共有するためのツールであり、メールやテキスト、メッセージアプリでのパスワード送信の代わりに、ワンタイムシークレットを使って、代わりにメッセージを開くためのリンクやパスワードを送信します。
ワンタイム シークレットでは、パスワードや秘密のメッセージ、個人用リンクの入力や、秘密のリンクの作成が求めらます。
送られたリンクアドレスに受信者がアクセスする際はパスワードの入力が必要であり、それで共有された情報が画面上に表示されます。
その際、そのリンクは一度しか機能せず、その後は永久に消滅してしまいます。
また、ワンタイムシークレットは、受信者が読まなくても「自己消滅」するように、5分から数日の範囲で期限を設定することもできます。
例えばこんな感じです:
-
経理担当者は会社の銀行口座の認証情報の共有が必要だが、テキストメッセージやメールでの認証情報の送信はしたくない。
-
そこで、銀行口座の認証情報とメッセージを開くためのワンタイムパスワードのあるワンタイムシークレットメッセージを作成する。これは非常に機密性の高い情報なので、送信者はそのワンタイムシークレットが1時間で自己消滅するように設定する。
-
ワンタイムシークレットのリンクを受信者の会社のメールアドレスに送信する。その際、ワンタイムシークレットのメッセージが傍受されるのを防ぐために、電話などの手段でワンタイムパスワードを共有する場合がある。
-
受信者がリンクを開き、パスワードを入力すると、銀行口座の認証情報が画面に表示される。
-
受信者は個人情報が含まれた銀行口座情報を安全な場所にコピーしてブラウザを閉じ、同時にワンタイムシークレットのメッセージを削除する。
-
受信者(あるいは他の誰か)がもう再度そのリンクをクリックすると、「不明な秘密です。元から存在しなかったか、すでに閲覧されています。」というエラーメッセージが表示される。
送信者は、気が変わった場合は、受信者がそれを見る前にのみ「秘密を消去」できます。
ワンタイムシークレットを管理する場所
https://onetimesecret.com/ はワンタイムシークレットのアプリケーションの元祖ですが、コードがオープンソースであるため、同じサービスが提供されている似たような Web サイトがあります。
ワンタイムシークレットアプリは大体無料ですが、有料プランに移行する前に無料のワンタイムシークレットの数が制限されているアプリもあります。
ワンタイムシークレットのアプリには、データを入力するための基本的なテキストフィールドが備わっていますが、表やリストの作成や、ドキュメントの挿入をするための WYSIWYG エディタを備えたアプリもあります。
ワンタイムシークレットで共有される情報
ワンタイムシークレットは、さまざまなデータの送信に使われますが、ワンタイム シークレットで送信される一般的な情報には以下のようなものがあります:
-
クレジットカードの詳細
-
API キー
-
機密コードまたはアルゴリズム
-
機密性が高く追跡不可能なメモの共有
ワンタイムシークレットのアプリの中には、文書や画像を共有できるものもありますが、このようなドキュメントは、保存されたメタデータから追跡可能であるので匿名のワンタイムシークレットの目的が達成されないという問題があります。
OneTimeSecret.com の代替手段
チームメイトや同僚、従業員との認証情報の共有が必要な場合は、TeamPassword のようなパスワードマネージャを検討しましょう。
認証情報へのアクセスは、必要に応じて許可され、それでユーザーは、セキュリティで保護された金庫内の必要なものに常にアクセスできるため、パスワードやなどの秘密を書き留めたり、メールや ショートメール(SMS)で送信したりする必要がなくなります。
また、毎回手作業でシークレットを送信するのではなく、認証情報をさまざまなグループに分けて、それに応じてアクセス許可を与えることができます。
TeamPassword のエンタープライズプランには、社外の人へのパスワード送信が必要な時のために、独自のワンタイムシークレット機能が備わっています!
Teampassword だと、暗号化された保管庫内のパスワードを、権限のある人と共有することができます。
ユーザーがリンクを開くとリンクは破棄され、一度だけパスワードを使うことができます。
ワンタイムシークレットは安全か?
ワンタイムシークレットは、アクセスを1回限りの使用に限定することである程度の安全性がもたらされますが、専門家は大体、長期的なパスワード共有には使わないようにと助言しています。
それには以下のような理由が挙げられます:
機能性が限られる
ワンタイムシークレットは、継続的な連携ではなく、一時的なアクセスのためにデザインされており、ユーザーロールや権限コントロールのような機能がないため、複数のチームメンバーのアクセスの長期的な管理はしにくくなります。
潜在的にあまり安全ではない
ワンタイムシークレットの安全性は、使うプラットフォームに完全に依存しており、強力な暗号化が備わっているのもあれば、データが脆弱なままにになっているのもあります。
そこでセキュリティの専門家は、より安全な代替手段としてパスワードマネージャーを推奨していいますが、パスワードマネージャーには以下のような特徴が挙げられます:
暗号化
パスワードは暗号化された形式で保存されるため、何者かによってシステムに侵入されても読み取られることはありません。
安全な保存
パスワードは通常、強固なセキュリティ対策が施された安全なサーバーに保管されます。
アクセスコントロール
ユーザーやグループごとにアクセス許可を設定でき、それで誰が何にアクセスできるかを細かくコントロールできます。
追加機能
多くのパスワードマネージャーには、パスワード生成、安全なパスワード共有、二要素認証などの追加機能があることから、安全性がさらに強化されます。
こうした理由から、セキュリティ専門家は一般的に、共有パスワードの管理にはワンタイムシークレットよりもパスワードマネージャーを推奨しています。
パスワード マネージャーとワンタイム シークレットの違い
ワンタイムシークレットはメッセージングサービスであり、パスワードマネージャーではありません。
パスワードマネージャーだとパスワードの保存や呼び出ができますが、ワンタイムシークレットだとそれはできません。
TeamPassword だと、パスワードに誰がアクセスできるかを完全にコントロールし、その使用状況を追跡することができます。
対するワンタイムシークレットだと、共有後に認証情報はなくなり、それがどこに行ったかも誰に使われたかもわからなくなります。
ワンタイムシークレットは、脆弱なパスワードや認証情報の再利用には対処できませんが、TeamPassword には無料で使える安全なパスワード生成機能が含まれており、アカウントごとにユニークで強力なパスワードを作成することができます。
企業によくあるパスワードの脆弱性
サイバー攻撃の増加やパスワード ツールの多様化、メディアからの警告が絶えないにもかかわらず、多くの企業では依然として不十分なパスワード管理がまかり通っています。
TeamPassword の14日間無料トライアルをお試しいただき、認証情報を安全に共有する方法をぜひ体験してください。
間違い 1 - 弱いパスワード
脆弱なパスワードは重要な問題です。例えば「P@$$w0rd123」は複雑に見えるかもしれませんが、「password123」を使うのと変わりはありません。
ハッカーは、ブルートフォース攻撃(犯罪者がパスワードを推測して突破しようとする攻撃)で、多くの場合はこのようなわかりやすいパスワードを最初に実行します。
多くの人は、文字を記号に置き換えるだけで強力なパスワードが作れると思っています。これでもある程度の安全性は確保できますが、推測されやすいことに変わりはありません。
複数のクライアントのアカウントを管理している会社は、パスワードにクライアントの名前を使うことも避けるべきです。
例えば、クライアントのインスタグラムのアカウントに「clientnameIn$t@gr@m」を使うと、記号で安全そうに見えるかもしれませんが、ハッカーはこのようなやり方は把握しています。
なので企業は、大文字、小文字、数字、記号を含むランダムな文字セットを使って、最低12文字の強固なパスワードを作るべきです。
TeamPassword にはパスワード生成機能が内蔵されているので、もう弱いパスワードに悩まされることはありません!
間違い2 - パスワードをプレーンテキストで保存する
パスワードをプレーンテキスト(平文)で保存するのは(もちろん、これにはブラウザへのパスワードの保存や、ワンタイムシークレットでの認証情報の送信も含まれます)、誰でも会社の認証情報を閲覧、使用、共有できるということになります。
会社は、多くの場合は認証情報の保存や共有のためにスプレッドシートを使って、クライアントのために何百ものアカウントを管理します。それだと誰にも気づかれずにスプレッドシートのコピーや共有ができてしまいます。
平文パスワードの保管は不注意の極みであり、州や国によってはそれが規制違反に当たることもあり、訴追や罰金につながる可能性があります。
間違い3 - パスワードの使いまわし
脆弱なパスワードと同様、認証情報の使いまわしは、もう一つの重大なサイバーセキュリティの脆弱性を生み出します。
攻撃者は、クレデンシャルスタッフィングと呼ばれるプロセスで、あるデータ侵害から盗んだパスワードを使って他のアカウントやアプリケーションへのアクセスを試みることがよくあります。
企業が複数のアカウントに同じパスワードを使いまわししている場合、攻撃者は認証情報を1セット盗みさえすれば、他の全アカウントにアクセスできてしまいます!
TeamPassword に内蔵されているパスワード生成機能で、チームは確実に全アカウントに固有のパスワードを作成することができます!その際、大文字、小文字、記号、数字を使って、12~32文字の間で選択できます。
間違い 4 - 「ログイン状態を記憶する」機能の使用
多くの Web サイトやアプリケーションには、チェックボックス付きの「ログイン情報を記憶する」機能があり、「14日間ログインしたままにする 」というの機能がある場合もあります。
この「憶えておく」機能には、もし従業員のデバイスが盗まれた場合に、盗んだ犯人がブラウザの履歴から会社のアカウントを見つけてログインできてしまうという問題があります。
同様の問題が、ブラウザにパスワードを保存する場合にも当てはまります。もし従業員のブラウザの認証情報が盗まれら、保存されているパスワードにも全部アクセスできてしまいます!
TeamPassword を使うと、認証情報は全て暗号化されて安全に保存されます。従業員は Safari、Chrome、Firefox のブラウザ拡張機能を使ってサインインするため、パスワードが TeamPassword から外部に漏れることはありません。
また、2FA(2段階認証)で、従業員の TeamPassword 認証情報が盗まれたとしても、第二の認証ステップが作成されるので、完全な漏洩を防ぎます。
間違い5 - パスワードの変更
企業は多くの場合、セキュリティ対策としてパスワードを頻繁に変更しようとします。
これは、(頻繁な変更でパスワードが覚えにくかったり作るのが面倒になったりして)従業員が長期にわたってパスワードを使いまわしたり、アカウント間でパスワードがすり替わってしまうなどの問題が出てきます。
パスワードマネージャーを使っていない場合は、従業員が常に認証情報を共有しているため、変更を追跡するのが大変になり、多くのサイバーセキュリティの脆弱性が露呈してしまう可能性があります。
TeamPassword を使えば、パスワードの定期更新ができ、従業員に伝える必要もありません。パスワードマネージャーが全ユーザの認証情報を更新するため、気にすることなく業務を通常通り継続できます。
パスワード共有の苦労を解消:TeamPassword でチームワークを効率化
パスワードのリセット、わかりにくいスプレッドシート、安全でないメールのやり取りなど、終わりのないサイクルにうんざりしていませんか?TeamPassword が安全でストレスのない連携への鍵を握っています。
チーム向けに構築され、安全のために構築されている:
-
安心でスマートな共有:チームごとに特定のアカウントへのアクセスを許可することで、安全性が損なわれることなく、誰でも必要なものを確実に共有できる。
-
ごちゃごちゃな紙にさようなら:TeamPassword でパスワードは安全に一元管理されるので、付箋や安全でないメールは要らなくなる。
-
常に把握:メールアラートと詳細なログでの重要なアクティビティ監視によって、すべてを把握できる。
どこで作業してもパスワードリストは1つ:
-
簡単アクセス:TeamPassword は、ブラウザ拡張機能やモバイルアプリで、どのデバイスでもシームレスに機能する。
-
複製にさようなら:安全な保管庫が1つできて、それがチームのニーズにすべて対応するので、複製されたパスワードリストをいちいち管理する必要はなくなる。
14日間の無料トライアルで、TeamPasswordをぜひお試しください。