広告が嫌いですか? 行く広告なし今日 

TOTP / HOTP シークレットジェネレーター

開発者安全

広告・取り除く？

入力

出力

クライアント側

広告・取り除く？

ガイド

TOTP / HOTP シークレットジェネレーター

Google AuthenticatorやAuthyなどの二要素認証アプリ用の、暗号学的に安全なTOTPおよびHOTPシークレットを生成します。このジェネレーターはBase32エンコードされたシークレットを作成し、otpauth:// URI標準を介してスキャン可能なQRコードを生成し、デプロイ前にシークレットが機能することを確認できるライブTOTPプレビューを表示します。

使い方

OTPタイプ（時間ベースの場合はTOTP、カウンターベースの場合はHOTP）を選択し、発行者名とアカウント識別子を入力し、桁数（6または8）、アルゴリズム（SHA-1、SHA-256、またはSHA-512）、および時間間隔を選択します。クリックして新しいシークレットを作成します。QRコードを認証アプリでスキャンしてアカウントを追加し、ライブコードが一致することを確認します。 生成する をクリックして新しいシークレットを作成します。QRコードを認証アプリでスキャンしてアカウントを追加し、ライブコードが一致することを確認します。

特徴

TOTPとHOTP – 時間ベース（RFC 6238）とカウンターベース（RFC 4226）のワンタイムパスワードの両方をサポート
安全な生成 – 使用 crypto.getRandomValues() 暗号学的に強力なシークレットのため
Base32エンコーディング – すべての主要な認証アプリと互換性のある出力
インラインQRコード – otpauth:// URIからクライアントサイドで生成され、外部サービスは不要
ライブTOTPプレビュー – シークレットを確認するためにリアルタイムで更新される現在の6/8桁のコードを表示
アルゴリズムの選択 – SHA-1（デフォルト）、SHA-256、またはSHA-512
完全にクライアントサイド – シークレットがブラウザを離れることはありません

広告・取り除く？

 よくある質問

TOTPとHOTPの違いは何ですか？

TOTP（Time-based One-Time Password, RFC 6238）は現在の時刻に基づいてコードを生成し、デフォルトで30秒ごとに更新されます。HOTP（HMAC-based One-Time Password, RFC 4226）は、使用ごとにインクリメントされるカウンターに基づいてコードを生成します。TOTPは、サーバーとクライアントのカウンター同期を必要としないため、最新の2FAシステムでより一般的ですが、HOTPはオフラインまたは非同期シナリオで役立ちます。
TOTPのデフォルトアルゴリズムとしてSHA-1が使用されているのはなぜですか？

RFC 6238がこれをベースラインとして指定しており、事実上すべての認証アプリ（Google Authenticator、Authy、Microsoft Authenticator）がこれをサポートしているため、SHA-1はデフォルトのままです。SHA-1にはデジタル署名における既知の弱点がありますが、TOTPで使用されるHMAC-SHA-1はそれらの攻撃に対して脆弱ではありません。SHA-256およびSHA-512はより強力なセキュリティを提供しますが、アプリのサポートは限られています。
otpauth:// URIスキームはどのように機能しますか？

otpauth:// URIは、シークレット、発行者名、アカウントラベル、アルゴリズム、桁数、時間間隔など、認証アプリを設定するために必要なすべてのパラメータをエンコードします。QRコードはこのURIを埋め込むため、ユーザーは手動入力なしでアカウントをスキャンしてインポートできます。形式は次のとおりです：otpauth://totp/Issuer:Account?secret=BASE32SECRET&issuer=Issuer&algorithm=SHA1&digits=6&period=30
ブラウザツールでTOTPシークレットを生成しても安全ですか？

はい、ツールが完全にクライアントサイドである場合です。このジェネレーターはWeb Crypto APIを使用してローカルでシークレットを生成し、サーバーに送信することはありません。ブラウザの開発者ツールのネットワークタブを確認することでこれを検証できます — シークレット生成中にアウトバウンドリクエストは行われません。生成されたシークレットは安全に保存し、決して共有しないでください。