2FAバックアップコードを安全に共有する方法
2FAバックアップコードは、スマホを失くした時にアカウントの命綱となる最重要機密です。多くのガイドは「印刷して金庫に入れろ」と言いますが、あなたが飛行機の中で共同創業者が緊急アクセスを必要とした時には役に立ちません。メール送信は論外です。SecureMintの暗号化メモはこの問題を解決します:パスワード保護+burn-after-reading+ワンタイムリンクで、1回読まれたら消えます。
SecureMintはゼロ知識設計。サーバーはあなたのデータを読めません。
手順
1
本当に渡すべき相手を決める
共有相手は配偶者・共同創業者・遺言執行者など1〜2名に限定します。コピーが増えるほど攻撃面が広がります。
2
バックアップコードをSecureMintメモに貼り付け
securemint.app/memoでコードを貼り付けます。どのサービス用か明記してください(例:「Gmail個人用 — リカバリーコード10個、最終使用2024-03」)。
3
受信者だけが知るパスワードを設定
受信者が推測できるが攻撃者には推測できないもの(共有の思い出など、ペットの名前はNG)。リンクが漏れた場合の追加要素になります。
4
burn-after-readingをONにし、短めの有効期限を設定
受信者が即受け取れるなら1時間、それ以外は24時間を推奨。リンクとパスワードは必ず別経路で送ってください。
なぜ安全なのか
- 二経路原則:リンクとパスワードを同じアプリで絶対に送らない。
- burn-after-reading+パスワードにより、攻撃者は漏洩リンクとパスワードの両方を入手し、かつ受信者より先に開く必要があります。
- 受信者は即座に自分のパスワードマネージャーに保存し、メモリンクを破棄すべきです。
- 2FAバックアップコードは定期的にローテーションし、同じフローで再共有してください。
よくある質問
共有パスワードマネージャーのVaultでいいのでは?
共有Vaultは長期共有には有効ですが、単一障害点になります。SecureMintは共同創業者のオンボーディングや遺言執行者への緊急アクセス付与など、パスワードマネージャー全体を晒さずに1回だけ渡したい場面で最適です。
複数の2FAコードをまとめて送れますか?
可能ですが、1サービス1メモを推奨します。1通が漏洩しても他に影響しないため。利便性がリスクを上回る場合のみまとめてください。
メモもゼロ知識ですか?
はい。メモ本文はアップロード前にブラウザ内でAES-256-GCM暗号化されます。サーバーに到達するのは暗号文のみ。復号鍵はURLフラグメントに格納されます。