5年前、「ワンタイムシークレットでパスワードを安全に共有」(2016年6月13日)で、ワンタイムシークレットとd-noteについて書きました。これらを使えば、パスワード(あるいは任意のテキスト)を、傍受されたりメールの漏洩で漏洩したりする心配なく共有できます。この機能は、アカウントのアクセス認証情報を、技術プラットフォームを知らない可能性のある人々と共有する必要があるグループに所属している場合に不可欠です。
これらのパスワード共有サービスの仕組みは次のとおりです。Webフォームにパスワードを入力し、「生成」ボタンをクリックし、表示されたURLをコピーして、リンクを受信者に送信します。受信者がリンクをクリックすると、サイトはパスワードを表示し、データベースのエントリを即座に削除して、二度とそのリンクを使用できないようにします。このような事態はまず起こり得ませんが、受信者がリンクを取得できなかったと報告してきた場合、誰かがメッセージを傍受したことが分かり、問題のパスワードを変更できます。
似たようなサービスである1ty.meを使うようになりました。最近までは、メールアドレスを入力すると、受信者がパスワードにアクセスした際に通知を受け取ることができました。なぜこの機能がなくなったのかは分かりませんが、受信者がパスワードを取得したという通知を受け取れるのは便利でした。
「ワンタイムシークレット」に関するその記事で、私は次のように書きました。
One-Time Secret で解決したい問題は、技術的な設定をほとんど知らない人と、不定期に、一度きりのパスワードを共有することです。もっと頻繁にパスワードを共有したい場合は、1Password や LastPass のような優れたパスワードマネージャーを使えば、全員が同じアプリを使用している限り、共有が簡単になります。理想的には、1Password と LastPass の将来のバージョンに One-Time Secret や d-note のコードを統合し、アドホックなパスワード共有も提供できるようになるでしょう。
長い時間がかかりましたが、AgileBitsが最近リリースした1Password 7.9では、1Passwordを使用していない人でも安全にパスワードを共有できるようになりました。1Password.com、Mac版1Password、iOS版およびiPadOS版ではインターフェースが若干異なりますが、基本的な使い方は以下のとおりです。
パスワードを安全に共有する
AgileBits は、安全なパスワード共有を簡単にする優れた機能を備えています。
- 1Password の保管庫内のアイテムを選択します (iOS では、必要に応じて「カテゴリ」をタップします)。
- [共有] ボタンをタップ (iOS) するか、[共有] ボタンをクリックして [共有] を選択します (macOS および 1Password.com)。
- リンクの有効期限を選択します。1回表示後(ワンタイムシークレットなど)または一定期間後のいずれかを選択できます。リンクが1回使用したら機能しなくなるように、ほとんどの場合、1回表示にすることをお勧めします。それ以外の場合は、複数の人に見られてしまう可能性があります。
- リンクを誰でもアクセスできるようにするか、特定の人だけにアクセスできるようにするかを選択します。この調整機能は、受信者がパスワードを明かす前にメールアドレスを入力して確認コードを受け取る必要があるように指定できるため、競合サービスよりも優れています。攻撃者は意図した受信者のメールアドレスも知っている必要があるため、傍受のハードルが上がります。ただし、受信者にとってはパスワードの取得が2段階のプロセスになるため、煩わしさとセキュリティ強化のバランスを取る必要があります。
- [共有リンクを取得] をタップまたはクリックします。
- 次の画面で、下部にある [コピー] ボタンをタップまたはクリックします。ボタンが [コピー済み] に変わります。
- リンクの送信方法は受信者の自由です。セキュリティを高めるため、ログイン情報以外の情報と同じチャネルで送信しないでください。例えば、ログイン情報の大部分はメールで送信し、パスワードリンクはiMessageのようなエンドツーエンド暗号化システムで送信します。こうすることで、受信者がメッセージを見る前に攻撃者がメールを傍受またはハッキングした場合でも、アカウントのセキュリティは確保されます。
共有パスワードにアクセスする
共有パスワードへのアクセス方法は、送信者が特定のユーザーのみにアクセスを許可しているかどうかによって異なります。許可していない場合は、提供されたリンクをクリックし、パスワードフィールドをタップまたはクリックして、下の右端の画面のようにパスワードをコピーしてください。すぐに動作を確認し、ご自身のパスワードマネージャーに追加することをお勧めします。
さらに興味深いのは、送信者が受信者を限定した場合に何が起こるかです。その場合は、次の手順に従います。
- 提供されたリンクをタップまたはクリックして、Web ブラウザーで開きます。
- メールアドレスを入力し、「コードの送信」をクリックまたはタップします。
- 電子メールに切り替えて、受信したメッセージから 6 桁のコードをコピーします。
- Web ブラウザに戻ってコードを入力します。
- 1Password はパスワードを隠したログイン情報を表示します。タップまたはクリックすると、「コピー」と「表示」のオプションが表示されます。
- パスワードをコピーし、すぐに問題のアカウントにログインして、それが機能することを確認し、パスワードをパスワード マネージャーに保存します。
誰かが1Passwordの共有パスワードリンクを入手したものの、承認された受信者のメールアドレスを入力しなかった場合、確認コードではなく、そのアドレスとはアイテムが共有されていないことを通知するメールが届きます。
AgileBitsがこのシステムに追加してほしい唯一の点は、共有パスワードが取得されたことを通知するオプション機能です。1ty.meではこの機能が非常に役立ちました。なぜなら、ループを完結させ、受信者がログインタスクを進めていることを確認できたからです。
それ以外では、AgileBits はこのパスワード共有機能に関して素晴らしい仕事をしており、LastPass や他のパスワード マネージャーが同様のことを行っていないのは驚きです。