TOTP 코드 생성기

사용법

1. Base32 시크릿(설정 화면에 표시되는 문자·숫자의 긴 문자열)을 시크릿 입력란에 붙여 넣으세요. 공백과 하이픈은 무시됩니다.
2. 서비스가 사용하는 자리수·주기·알고리즘에 맞춰 옵션을 조정하세요. 구글 OTP 기본값은 6자리 / 30초 / SHA-1 입니다.
3. 현재 코드를 클릭하면 복사됩니다. 카운트다운 링이 0에 가까우면 ‘다음 코드’ 패널을 확인해 현재 코드와 다음 코드 중 어느 쪽을 쓸지 결정하세요.
4. 코드가 거부되면 기기 시간이 정확한지 확인하세요 — TOTP 는 Unix 시간이 초 단위까지 맞아야 동작합니다.

자주 묻는 질문

안전한가요? 시크릿이 어디로 전송되나요?

브라우저 밖으로 나가지 않습니다. Base32 디코딩과 HMAC-SHA 연산 모두 Web Crypto API 로 기기 안에서 실행됩니다. 네트워크 탭을 열어 확인할 수 있습니다. 다만 TOTP 시크릿은 비밀번호와 같으니 신뢰할 수 있는 도구에만 붙여 넣고, 시크릿이 노출되는 스크린샷은 공유하지 마세요.

어떤 설정을 골라야 하나요?

기본값(6자리·30초·SHA-1)은 구글 OTP 사양과 동일하며 대부분의 서비스와 호환됩니다. 일부 은행·기업 시스템은 8자리·60초·SHA-256/512 를 쓰며, 설정 안내에 명시되거나 otpauth:// URI 안에 포함되어 있습니다. 파라미터가 어긋나면 조용히 잘못된 코드가 생성됩니다.

코드가 거부됩니다 — 뭐가 잘못된 거죠?

가장 흔한 원인은 시계 동기화입니다. TOTP 는 기기의 Unix 시간을 사용하므로 30초 이상 어긋나면 모든 코드가 실패합니다. 시간을 동기화하세요(대부분의 OS 는 자동 — NTP 설정을 확인). 그 외 원인: 잘못된 자리수·주기·알고리즘, 시크릿 문자열의 누락·중복, 다른 계정 시크릿 사용.

TOTP 와 HOTP 차이는?

HOTP(RFC 4226)는 ‘다음 코드’ 버튼을 누를 때마다 카운터가 증가하며 서버와 동기화가 필요합니다. TOTP(RFC 6238)는 카운터 대신 현재 Unix 시간 ÷ 주기를 사용하므로 코드가 자동 회전합니다. 현대의 2FA 는 거의 모두 TOTP 를 씁니다.

QR 코드나 otpauth:// URI 를 가져올 수 있나요?

이 도구에서는 Base32 시크릿을 직접 붙여 넣어야 합니다. otpauth:// URI 의 ‘secret=’ 뒤 값이 시크릿입니다. QR 코드 이미지만 있다면 먼저 별도 디코더로 스캔한 뒤 시크릿만 여기에 붙여 넣으세요.

관련 도구