TOTP & HOTP ジェネレーター

RFC 6238 / 4226 · 完全にブラウザ内で実行

仕組み

TOTP(時間ベース ワンタイムパスワード、RFC 6238)と HOTP(HMAC ベース、RFC 4226)はどちらも、共有秘密でカウンタを HMAC 署名し、結果を要求された桁数に切り詰めることでコードを計算します。TOTP のカウンタは floor(unixTime / period);HOTP のカウンタはアプリケーションが供給し、成功使用ごとに 1 ずつ増えます。

このページは現実の配備で必要となるオプションをすべて備え、両規格を実装しています:HMAC-SHA1(レガシー互換のためのデフォルト)、SHA-256、SHA-512;6・7・8 桁;TOTP の 30 秒・60 秒ウィンドウ;HOTP の明示的なカウンタ入力。HMAC 計算はブラウザネイティブの Web Crypto API 上で動くので、秘密鍵がネットワーク境界を越えることはありません。

otpauth:// インポート

Secret 欄に otpauth://totp/... または otpauth://hotp/... URI を貼り付けると、すべてのオプションがそのパラメータから自動入力されます — アルゴリズム、桁数、周期、カウンタ、秘密鍵。これは Google Authenticator のセットアップ画面の QR が生成するのと同じ URI 形式なので、メールや 2FA セットアップページに貼り付けられた URI を直接コピーして、インポート前に何が起きるか確認できます。

逆方向では、QR として表示ボタンが現在の構成を QR ジェネレータに渡し、再入力なしでスマホの認証アプリにスキャンできます。

よくあるユースケース

• サーバーアカウントで 2FA を設定し、構成を確定する前に秘密鍵が正しく保存されたことを確認する。
• 認証アプリにアクセスできないが元の秘密鍵をまだ持っているとき、ワンタイムコードを復元する。
• OTP ベースの自動化が失敗しているのをデバッグする — 自分のマシンで期待コードを生成し、自分のコードが出すものと比較する。
• チャットやメールで届いた怪しい otpauth:// URI を、スマホにインポートする前に検査する。
• サードパーティライブラリを引き込まずに、ベクトルコードパス(SHA-256、8 桁、60 秒)に対して 2FA 実装をテストする。

プライバシー

秘密鍵はあなたのブラウザでのみ処理され、送信・記録・保存は一切行われません。アナリティクススクリプトも、Cookie も、テレメトリもありません。本ページの全ソースは普通の HTML と JavaScript なので、機微な情報を貼る前に右クリックでソースを見て監査できます。