다음 코드까지
—
Tools100% 로컬
← 모든 도구
TOTP & HOTP 생성기
RFC 6238 / 4226 · 완전히 브라우저에서 실행
Base32 비밀 — 또는 전체
otpauth:// URI — 을 붙여넣으면 6자리, 7자리, 또는 8자리 코드가 실시간으로 흐릅니다. HMAC-SHA1, SHA-256 또는 SHA-512를 선택하고, 60초 윈도우로 전환하거나, HOTP 카운터 모드로 전환해 카운터 기반 2FA를 사용할 수 있습니다. 비밀은 페이지를 떠나지 않습니다.
알고리즘
자릿수
주기
이전——————
다음——————
——————
클릭하여 복사
—
카운터
—
Unix 시간
—
작동 방식
TOTP(시간 기반 일회용 비밀번호, RFC 6238)와 HOTP(HMAC 기반, RFC 4226)는 모두 공유 비밀로 카운터를 HMAC 서명한 다음 결과를 요청한 자릿수로 잘라 코드를 계산합니다. TOTP의 경우 카운터는 floor(unixTime / period)이며, HOTP의 경우 카운터는 애플리케이션이 제공하고 성공할 때마다 증가합니다.
본 페이지는 실제 배포에서 중요한 옵션 일체와 함께 두 표준을 모두 구현합니다: HMAC-SHA1(레거시 호환을 위한 기본값), SHA-256, SHA-512; 6, 7 또는 8자리 코드; TOTP의 30초 또는 60초 윈도우; HOTP의 명시적 카운터 입력. HMAC 계산은 브라우저의 네이티브 Web Crypto API에서 실행되므로, 비밀은 네트워크 경계를 넘지 않습니다.
otpauth:// 가져오기
비밀 필드에 otpauth://totp/... 또는 otpauth://hotp/... URI를 붙여넣으면 모든 옵션이 그 매개변수에서 자동 채워집니다 — 알고리즘, 자릿수, 주기, 카운터, 비밀. Google Authenticator 설정 화면의 QR 코드가 생성하는 것과 동일한 URI 형식이므로, 이메일이나 2FA 설정 페이지에 붙여넣은 URI를 직접 복사해 가져오기 전에 무엇을 할지 검사할 수 있습니다.
반대 방향으로는 QR로 보기 버튼이 현재 구성을 QR 생성기에 넘겨, 다시 입력할 필요 없이 폰의 인증 앱으로 스캔할 수 있게 합니다.
일반적인 사용 사례
- 서버 계정에 2FA를 설정하고, 구성을 마무리하기 전에 비밀이 올바르게 저장되었는지 확인.
- 인증 앱에 접근할 수 없지만 원래 비밀을 가지고 있을 때 일회용 코드 복구.
- 실패하는 OTP 기반 자동화를 디버깅 — 자기 컴퓨터에서 예상 코드를 생성해 자기 코드가 만들어내는 것과 비교.
- 채팅이나 이메일로 받은 의심스러운
otpauth://URI를 폰에 가져오기 전에 검사. - 서드파티 라이브러리를 끌어들이지 않고 벡터 코드 경로(SHA-256, 8자리, 60초)에 대해 2FA 구현 테스트.
개인정보
비밀은 브라우저에서만 처리되며 전송, 기록, 저장되지 않습니다. 분석 스크립트, 쿠키, 텔레메트리가 없습니다. 본 페이지의 전체 소스는 평범한 HTML과 JavaScript입니다 — 민감한 것을 붙여넣기 전 감사하고 싶다면 우클릭하여 소스 보기를 하세요.