💻 開発者ツール

TOTP生成(ワンタイムパスワード)

Base32のシークレットキーから、認証アプリ(Google Authenticator等)と同じ 時刻ベースのワンタイムパスワード(TOTP) を生成し、残り時間とともに表示します。2段階認証の動作確認やバックアップに。シークレットは保存も送信もされず、端末内のWeb Crypto APIで計算します。

例(クリックで試す)

スペースや小文字、ハイフンが混ざっていても解釈します。入力は保存されません。

Base32のシークレットを入れると、コードが出ます

TOTP生成ツールの使い方

「例(クリックで試す)」を押すか、サービスから提供されたBase32のシークレットキーを入力します。入力したその場でコードが表示されるライブ動作で、下のバーが残り時間を示し、周期(既定30秒)ごとに自動更新されます。「コードをコピー」でクリップボードへ。桁数・周期・アルゴリズムが標準(6桁・30秒・SHA-1)と違う場合は、上のメニューで合わせてください。otpauth:// で始まるURIを貼り付けると、シークレットと各設定を自動で読み取ります。

具体例

シークレット JBSWY3DPEHPK3PXP(6桁・30秒・SHA-1)を入れると、30秒ごとに変わる6桁のコードが表示されます。端末の時計が正しければ、同じシークレットを登録した認証アプリと同じ数字になります。

  • 桁数:多くのサービスは6桁です。7・8桁にも対応します。
  • 周期:コードが切り替わる間隔。標準は30秒です。
  • アルゴリズム:標準はSHA-1。一部サービスはSHA-256/512を使います。
  • QRコード:otpauth:// のQRを表示し、認証アプリに取り込めます(シークレットを含むため取り扱いに注意)。

安全に使うために

  • シークレットは 保存も送信もされません(メモリ上のみ。再読み込みで消えます)。
  • 共有端末や人前では使わないでください。TOTPのシークレットはパスワード同様に秘密です。
  • 端末の時計がずれていると、正しいコードになりません。

シークレットを新規に作りたいときは パスワード生成、QRを別途作りたいときは QRコード作成 もどうぞ。

よくある質問

入力したシークレットは保存・送信されますか?
いいえ。シークレットキーはブラウザのメモリ上だけで使われ、localStorageなどへの保存も、サーバーへの送信も行いません。ページを再読み込みすると入力は消えます。コードの計算はすべて端末内のWeb Crypto APIで行われます。
Google Authenticatorと同じコードになりますか?
はい。標準的なTOTP(RFC 6238)に従い、同じシークレット・桁数・周期・アルゴリズム(既定はSHA-1・6桁・30秒)であれば、Google Authenticatorなどの認証アプリと同じコードを生成します。端末の時計が正しいことが前提です。
このツールでログイン用のコードを生成して大丈夫ですか?
動作確認やバックアップ目的での利用を想定しています。シークレットは端末外に出ませんが、TOTPのシークレットは本来オフラインの認証アプリで厳重に管理すべき情報です。共有端末では使わず、用途を理解したうえでご利用ください。