2段階認証の検証に使う
TOTPは時間ベースで変化するワンタイムパスワードです。認証アプリと同じ値が出るか確認することで、秘密鍵、桁数、期間、アルゴリズムの設定ミスを見つけやすくなります。
Browser-native / zero upload
TOTP Generator (2FA)
RFC 6238 の TOTP をブラウザ内で生成します。Base32 秘密鍵、otpauth URI、QR 連携に対応しています。
local pipelinesealed
mode
local
tracking
zero
🔢 TOTP Generator (2FA)
RFC 6238 の Time-based One-Time Password を計算します。Google Authenticator / Authy / 1Password 互換。秘密鍵はブラウザ内のみで処理され、サーバーには送信されません。
⚠ 本物の 2FA 秘密鍵を入力する場合は、HTTPS / 信頼できる端末である事を確認してください
秘密鍵を入力するとコードが表示されます
詳細設定(アルゴリズム / 桁数 / 期間)
アルゴリズム
Google Authenticator は SHA-1(256/512非対応の実装が多い)
桁数
期間(秒)
一般的には 30 秒otpauth:// URI 生成(QRコード化用)
otpauth URI
otpauth://totp/secutils:user%40example.com?secret=JBSWY3DPEHPK3PXP&issuer=secutils&algorithm=SHA1&digits=6&period=30
この URI を QR Code Generator に貼って QR 化すれば、認証アプリでスキャン登録できます。
💡 TOTP について
- TOTP(RFC 6238)は HOTP(RFC 4226)の拡張。30秒ごとに変わるカウンター値で HMAC を計算し、6 桁を取り出す仕組みです。
- 2要素認証の「持ち物」要素として広く使われます(Google / GitHub / AWS 等のアカウントログイン)。
- 計算には正確な時刻が必要です。サーバーとクライアントの時刻が大きくずれているとコードが合いません。多くの実装は前後 1 ステップの猶予を持っています。
- 秘密鍵は紙で保管 / オフラインバックアップすることが強く推奨されます。スマホ紛失時に再設定不能になる事故が頻発します。
- TOTP はフィッシングに弱い(攻撃者にコードを横流ししてしまう)ため、より強固な 2FA としては FIDO2 / Passkey が推奨されます。
📖 関連する解説記事
- MFA、TOTP、FIDO2、Passkey の違い· 約 7 分 · Security
Next workflow
次に使うツール
作業の流れに近いツールへすぐ移動できます。
QRQR Code GeneratorURL共有用のQR作成
JWTJWT Decoderログイン不具合の切り分け
B64Base64 Encode / Decodeトークンや設定値の中身を確認
🔐Password Generator安全な初期パスワードを作る
🔐Password Generator安全な初期パスワードを作る
Related guides
Search guide
TOTPワンタイムパスワードを生成する
TOTP Generator は、RFC 6238に基づく2FAワンタイムパスワードをブラウザ内で生成するツールです。Base32秘密鍵、otpauth URI、QR連携の確認に使えます。
Browser-native privacy
秘密鍵と生成コードはブラウザ内で処理され、secutilsのサーバーへ送信されません。
秘密鍵の扱いに注意する
TOTPの秘密鍵を知っている人はワンタイムパスワードを生成できます。検証時は本番ユーザーの秘密鍵を不用意に共有せず、扱いに注意する必要があります。
TOTP Generator (2FA) でできること
- RFC 6238のTOTPに対応
- Base32秘密鍵とotpauth URIを確認
- 2FA実装の検証に使える