TOTP コード生成器

使い方

1. Base32 シークレット（設定画面で表示される長い文字列）をシークレット欄に貼り付けます。空白とハイフンは無視されます。
2. 桁数・周期・アルゴリズムをサービスの設定に合わせます。Google 認証システム既定は 6 桁 / 30 秒 / SHA-1。
3. 現在のコードをクリックするとコピーされます。カウントダウンリングが 0 近くなら『次のコード』を確認し、どちらを使うか判断します。
4. コードが拒否される場合は端末時計の同期を確認 — TOTP は Unix 時刻が秒単位で正しいことを前提とします。

よくある質問

安全？シークレットが送信されることは？

ブラウザ外には出ません。Base32 デコードも HMAC-SHA 計算も Web Crypto API で端末内で実行されます。ネットワークタブで確認できます。ただし TOTP シークレットはパスワード同様の機密情報なので、信頼できるツールにのみ貼り付け、シークレットが映るスクリーンショットは共有しないでください。

どの設定を選ぶ？

既定値（6 桁・30 秒・SHA-1）は Google 認証システム仕様と同じで多くのサービスで動きます。一部の銀行・企業システムは 8 桁・60 秒・SHA-256/512 を使い、設定説明や otpauth:// URI に記載されています。パラメータがずれると無言で誤コードを返します。

コードが拒否されます — 何が悪い？

最も多い原因は時計のずれです。TOTP は端末の Unix 時刻を使うので 30 秒以上ずれていると常に失敗します。時計を同期してください（多くの OS は自動 — NTP 設定を確認）。他の原因：桁数・周期・アルゴリズムの不一致、シークレット文字の欠落／余分、別アカウントのシークレット。

TOTP と HOTP の違いは？

HOTP（RFC 4226）は『次のコード』を押すたびにカウンタが増え、サーバとの同期が必要です。TOTP（RFC 6238）はカウンタの代わりに『現在 Unix 時刻 ÷ 周期』を使うのでコードが自動回転します。現代の 2FA はほぼ TOTP です。

QR コードや otpauth:// URI を読み込める？

本ツールでは Base32 シークレットを直接貼り付ける形式です。otpauth:// URI なら『secret=』の後ろの値がシークレット。QR 画像しかない場合はまず別のデコーダで読み取り、シークレットだけここに貼り付けてください。

関連ツール