誰かにパスワードを送らなければならない時はありませんか?例えば、新しいボランティアがクラブのウェブサイトの更新を手伝ってくれる時や、組織のTwitterアカウントへのアクセス権を誰かに付与する必要がある時などです。必要なログイン情報をすべて記載したメールを送るのは、最悪の方法です。アカウントのユーザー名とパスワードが便利なパッケージにまとめられてしまうため、送信中に盗聴されたり、ロックされていないMacで見られたり、間違った連絡先に誤って転送されたりする可能性があるからです。安全な転送メカニズムを備えたメッセージアプリを使っても、受信者以外の誰かが後で会話履歴をスキャンしてアカウントの認証情報を見ることができるため、理想的ではありません。
より良い方法は、ユーザー名(およびログインURL)をメールで送信し、パスワードをメッセージアプリで別々に送信することです。その際、送信元にパスワードを知らせないようにします。そうすれば、受信者のコンピュータにアクセスできる人が、2つのデータを関連付けるのが難しくなります。しかし、この方法は万能ではなく、必要なログイン情報はすべて、アクセス可能な様々な場所に残っている可能性があります。
最近偶然見つけた「One-Time Secret」という無料ウェブサイトでは、より良い解決策が提供されています。One-Time Secretのコンセプトはシンプルです。パスワードなどの秘密のコンテンツを入力し、ボタンをクリックすると、サイトからリンクが返されます。このリンクは一度だけ使用でき、秘密のコンテンツを取得できます。7日以内に使用しないと、リンクは無効になります。リンクは以下のようになります。
https://onetimesecret.com/secret/azlfhb73410b2pl648epu5ajywxx9bs
One-Time Secret を使用するには、Web サイトにアクセスし、パスワード マネージャーから取得した関連パスワードを「ここに秘密のコンテンツを入力してください」フィールドに貼り付けて、「秘密のリンクを作成」ボタンを押します。
生成されたリンクをコピーして、受信者に送信します。
どのように送信するかは、アカウントの重要度によって異なります。ハッカーが積極的にあなたを狙っておらず、問題のアカウントが機密データを保護していないような状況では、ユーザー名とパスワードへのリンクを別々のメールで送信しても問題ないでしょう。そうすれば、簡単に紐付けられることはありません。よりセキュリティを高めるには、ユーザー名をメールで、パスワードへのリンクをメッセージで送信してください(またはその逆)。どの方法を選択する場合でも、受信者に連絡を取り
、パスワードを取得してパスワードマネージャーに保存できたかどうかを確認してください。
このフォローアップが重要です。ワンタイムシークレットパスワードのリンクは一度しか使用できないため、受信者がアクセスできない場合は、誰かがアクセスしたという確固たる証拠となります。そのような場合は、すぐにパスワードを変更してください。
パスワードを転送するこれらの方法には、大きな懸念事項が1つあります。それは、もし誰かがあなたと受信者の間のすべてのトラフィックを傍受していたらどうでしょうか?あるいは、さらに悪いことに、受信者のコンピュータが侵害され、攻撃者がすべてのメールとテキストメッセージのトラフィックを読めるようになっていたらどうでしょうか?可能性は低いでしょうが、One-Time Secretでセキュリティを強化することで、この可能性に対処することができます。つまり、パスワードを別のパスワードで保護するということです。
これを行うには、パスワードリンクを作成する際に、パスフレーズ欄に単語またはフレーズを入力します(テキストで伝えるわけではないので、入力しやすいものにしてください)。そして、電話、Skype、FaceTime Audio、Google Hangouts、Slackなどを使って受信者に連絡し、パスフレーズを音声で伝えます。送信したワンタイムシークレットリンクを使用する際に、パスフレーズの入力を求められます。パスフレーズは全く別の方法で送信されるため、パスフレーズを知っているのは受信者だけです。セキュリティを究極まで高めたい場合は、パスフレーズを、2人だけが理解できるような情報(「リード開発者のニックネームです」など)で間接的に伝えることもできます。ええ、秘密工作みたいな話ですよね。
パスフレーズを使用するもう一つの利点は、One-Time Secretが秘密のコンテンツを暗号化するためにパスフレーズを使用していることです。パスフレーズを使用しない場合、One-Time Secretはユーザーのプライベートコンテンツを取得するまで保存する必要があり、7日間の猶予期間が生じ、その間にサイトがハッキングされる可能性があります。もちろん、ユーザー名やその他のログイン情報を含めず、パスワードのみを送信する限り、パスワードが正しい
アカウントに関連付けられる可能性は極めて低いはずです。しかし、もしそれが心配な場合は、パスフレーズを使用してコンテンツを暗号化し、パスフレーズを直接伝えてください。
アカウント登録なしでワンタイムシークレットを使用する場合、シークレットは7日間で有効期限が切れ、最大25KBのテキストを含めることができます。無料アカウントに登録すると有効期限が14日間に延長され、最大50KBのテキストを送信できます。これらの最大サイズは、パスワード以外のメッセージにもワンタイムシークレットを使用できることを意味しますが、受信者はいつでもテキストのコピーを作成できることにご注意ください。アカウント登録のもう一つのメリットは、ワンタイムシークレットがリンクをメールで受信者に送信してくれることです。これにより、メールがあなたから送信されたように見えます。これは、リンクを手動でコピー&ペーストするよりも大きなメリットではありませんが、状況によっては役立つかもしれません。
秘密を誰かに送信してすぐに後悔した場合は、確認画面に [Burn It] ボタンが表示され、リンクをたどった受信者が秘密の内容を知ることができないように秘密を削除できます。
ユーザーのパスワードをリセットできるものの、新しいパスワードを知りたくないシステム管理者のために、One-Time Secret には「またはランダムパスワードを生成」ボタンが用意されています。これは、パスワードの作成と共有のプロセスを1つのステップにすることで簡素化することを目的としています。
システム管理者や開発者にとって、One-Time Secret のコードはオープンソースなのでローカルにインストールでき、API やクライアントライブラリも用意されている点は大きなメリットとなるでしょう。プログラマー以外の人にとっては意味がないかもしれませんが、実用的なメリットとしては、インターネットサービスの利用に不安のある人にとっては安全なサーバー上でホスティングできるという点が挙げられます。仮に One-Time Secret に悪質なバックドアやその他の問題があったとしても、既に誰かが発見している可能性があります。
(この記事が初めて当社の Web サイトに掲載された後、私は d-note という競合 Web アプリの存在を知りました。このアプリはより優れたセキュリティを備えていると言われています。このアプリもオープンソースであり、自分のサーバーにインストールするための手順書が付属しています。d-note ではシステム管理者用のランダム パスワードを生成することはできませんが、受信者に送信する QR コードを作成できます。受信者はリンクをクリックする代わりに、この QR コードをスキャンして秘密のパスワードを入手できます。)
最後に一つ余談です。私がOne-Time Secretで解決しようとしている問題は、技術的な設定をほとんど知らない人と、不定期で一度きりのパスワードを共有することです。もっと頻繁にパスワードを共有したい場合は、1PasswordやLastPassのような優れたパスワードマネージャーを使えば、全員が同じアプリを使っている限り、共有が簡単になります。理想的には、1PasswordとLastPassの将来のバージョンにOne-Time Secretやd-noteのコードを統合し、アドホックなパスワード共有も提供できるようになるでしょう。
ワンタイムシークレットを頻繁に使っているとは言えませんが、特に技術に詳しくない友人とパスワードを共有するときに、強力なパスワードを使用し、安全でない状態で通信したり保管したりしないことの重要性を改めて認識させてくれるので、とても気に入っています。次回パスワードを共有する際には、ぜひ試してみてください!