🔑 TOTPジェネレーター

時刻ベースのワンタイムパスワード(TOTP)をブラウザ上で生成します。すべての処理はクライアント側で完結し、シークレットキーが外部に送信されることはありません。

有効なBase32文字列を入力してください(A-Z, 2-7)
シークレットキーを入力してください

使い方・活用例

  • 二要素認証(2FA)のシークレットキーからワンタイムパスワードを確認する
  • 認証アプリのバックアップ用コード生成ツールとして使用する
  • QRコードを生成して認証アプリに簡単にアカウントを登録する
  • 開発・テスト時にTOTP認証の動作確認に活用する

TOTPジェネレーターとは

ワンタイムパスワード(TOTP: Time-based One-Time Password)をブラウザ上で生成するセキュリティツール。Googleアカウント、GitHubやAWSなど多くのサービスの二要素認証で使用されるコードを、シークレットキーから生成します。6桁または8桁のコードが30秒ごとに自動更新され、リアルタイムカウントダウンで残り時間を表示。Base32形式のシークレットキーに対応し、SHA-1やSHA-256などの複数ハッシュアルゴリズムに対応した信頼性の高いジェネレーターです。

使い方ガイド

Webサービスの二要素認証設定時に表示されるBase32形式のシークレットキーをコピー。TOTPジェネレーターの「シークレットキー入力」欄に貼り付けます。するとすぐに6桁のコードが生成され、画面に表示。下部のプログレスバーで「このコードの有効期限が後何秒か」を視覚的に確認でき、期限切れ前に新しいコードが自動生成されます。QRコード表示機能でモバイルアプリへの登録も可能。ハッシュアルゴリズムはドロップダウンで選択できます。

活用シーン

・Googleアカウント、GitHub、AWSなどのセキュアなサービスログイン時に使用。スマートフォンの認証アプリの代替手段として機能します。
・企業のVPN接続やオンプレミスシステムへのアクセス認証。複数の認証デバイスを管理する運用担当者の業務効率化に。
・セキュリティキーを紛失した際の一時的な認証手段。バックアップとしてシークレットキーを保管し、トラブル時に活用。
・セキュリティ研究やペネトレーションテストの検証用として、TOTP生成メカニズムを理解する学習教材として利用。

知っておきたいポイント

TOTPはRFC 6238で国際標準化された認証方式で、インターネット上のセキュリティを支える重要な技術です。このジェネレーターはブラウザ内で完結し、ネットワークを経由せずに計算するため、シークレットキーが外部に送信される心配はありません。ただしシークレットキーそのものは最機密情報。紛失や盗聴を防ぐため、安全に管理・保管することが極めて重要。スクリーンショットや自動同期には細心の注意を払いましょう。

よくある質問

TOTPとは何ですか?

TOTP(Time-based One-Time Password)は、時刻ベースのワンタイムパスワードです。シークレットキーと現在時刻から一定間隔(通常30秒)ごとに新しいコードを生成します。Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリで広く使われています。

Base32エンコードとは何ですか?

Base32はバイナリデータをA-Zの26文字と2-7の6数字(計32文字)で表現するエンコード方式です。TOTPのシークレットキーは通常Base32形式で提供されます。大文字小文字を区別しないため、手動入力がしやすいのが特徴です。

生成されたコードの有効期限はどれくらいですか?

デフォルト設定では30秒ごとにコードが更新されます。本ツールでは設定から更新間隔を30秒または60秒に変更できます。画面上のカウントダウンタイマーで残り時間を確認できます。

このツールは安全ですか?

はい、すべての処理はブラウザ内で完結しており、シークレットキーやコードがサーバーに送信されることはありません。Web Crypto APIを使用してHMAC-SHA1/SHA-256の計算をローカルで行っています。

6桁と8桁の違いは何ですか?

6桁はRFC 6238の標準的な設定で、Google Authenticatorなどほとんどの認証アプリで使われています。8桁はより高いセキュリティが求められる場合に使用されますが、対応していないサービスもあります。

QRコードは何に使えますか?

表示されるQRコードはotpauth:// URI形式で、Google AuthenticatorやAuthyなどの認証アプリでスキャンしてアカウントを登録できます。アカウント名と発行者を設定すると、アプリ上で識別しやすくなります。

Google AuthenticatorやMicrosoft Authenticatorと互換性がありますか?

はい、このツールで生成されたQRコードは、Google Authenticator・Microsoft Authenticator・Authy等の標準TOTP対応アプリでスキャン・使用できます。業界標準に準拠しているため、互換性は高いです。

Base32キーを忘れた場合はどうなりますか?

Base32キーを紛失すると、そのアカウントへのアクセスができなくなる可能性があります。2要素認証設定時にBase32キーをメモ帳に控えるか、パスワードマネージャーに保存することを強くお勧めします。

QRコードをスキャンできない場合はどうしたらいいですか?

手動入力モードを使用してください。「QRコードが読めない場合」オプションをクリックすると、Base32キーを直接入力できます。その下に表示される24文字のキーをコピーして認証アプリに入力します。

SHA-1とSHA-256の使い分けはどうします?

多くのサービスはSHA-1(標準)に対応しています。より高いセキュリティが必要な場合はSHA-256を選択できます。サービス側で指定されている場合はそちらに合わせてください。

複数のシークレットキーを管理できますか?

このツールは単一のキーを一度に処理します。複数アカウント・複数サービスのキーを管理したい場合は、Google Authenticator等の専用アプリの使用をお勧めします。

生成されたコードが突然変わるのはなぜですか?

TOTPは30秒ごとに新しいコード(有効期限30秒)が自動生成されます。画面に表示されているカウントダウンが0になると新しいコードに切り替わります。これは仕様であり、セキュリティの仕組みです。