2FAコード生成器

シークレットキーを貼り付けて、TOTPコードを取得。完全にブラウザ内で動作 — サーバーに何も送信されません。

🔒 クライアントサイドのみ ⚡ アカウント不要 📡 オフライン動作
シークレットキーはデバイスから決して送信されません。保存や送信は一切行われません。

2FA.zipを使う理由

必要な時にTOTPコードを生成する、高速でプライベートな方法。

ブラウザから何も送信されない
シークレットキーはWeb Crypto APIを使用してデバイス上で完全に処理されます。サーバーなし、ネットワークリクエストなし、ログなし。
即座のコード生成
キーを貼り付けると、1秒以内に6桁のコードが生成されます。30秒ごとに自動更新。
インターネットなしで動作
ページを一度読み込めば、オフラインでも動作します。TOTPコードはデバイスの時計から生成 — 接続不要。
Cookieや保存なし
cookie、localStorage、データベースに何も書き込まれません。タブを閉じるとキーは消えます。
どこでも使用可能
最新ブラウザがあれば、スマートフォン、タブレット、ノートパソコン、デスクトップで動作。アプリインストール不要。
標準準拠
Google Authenticator、Authy、その他主要な認証アプリと同じRFC 6238 TOTPアルゴリズムを使用。

2FAコードの生成方法

3つのステップ。サインアップなし、ダウンロードなし、手間なし。

1
シークレットキーを見つける
アカウントの2FA設定を開きます。セットアップキーまたは「QRコードをスキャンできない」オプションを探して、テキストのシークレットを表示します。
2
上に貼り付ける
base32キーをこのページ上部のフィールドに入力します。スペースとダッシュは自動的に削除されます。
3
コードを取得する
6桁のコードが即座に表示されます。30秒ごとに更新されるため、常に現在のコードが準備されています。

TOTPコードとは何ですか?

TOTPはTime-based One-Time Password(時刻ベースのワンタイムパスワード)の略です。ログインするたびにシークレットをインターネット経由で送信することなく、共有シークレットにアクセスできることを証明するための短期間有効なコードを生成する方法です。

アカウントで二要素認証を有効にすると、サービスがシークレットキーを提供します。認証アプリ(またはこのツール)は、そのキーと現在時刻を組み合わせて、ハッシュ関数(HMAC-SHA1)を実行します。出力は6桁の数字に切り詰められます。両方がシークレットと時刻を知っているため、独立して同じコードに到達します。

コードは30秒ごとに変わります。ウィンドウが過ぎると、そのコードは無効になります。これがTOTPがSMSベースの二要素認証を上回る理由です — SMSでは、コードは電話回線を介して平文で送信され、SIMスワッピングやSS7エクスプロイトにより傍受される可能性があります。TOTPコードはネットワーク経由で送信されることは決してありません。

このアルゴリズムはRFC 6238で定義されており、Google Authenticator、Microsoft Authenticator、Authy、その他市場のほぼすべての認証アプリで使用されている同じ標準です。

セキュリティとプライバシー

すべてはブラウザ内で行われます。シークレットキーを入力すると、デバイスのWeb Crypto APIに直接送信されます。ネットワークリクエストなし、サーバー処理なし、キーに触れるサードパーティスクリプトなし。

cookieの設定、localStorageへの書き込み、匿名のページビュー分析を除く訪問に関するログは行っていません。シークレットキーはページが開いている間のみメモリに存在します。タブを閉じると消えます。「自動ログイン」オプションは意図的にありません。

ツールは完全にクライアントサイドで動作するため、オフラインになっても動作し続けます。ページを一度読み込み、接続を切断すれば、必要な間ずっとコードを生成できます。デバイスの時計だけが外部の依存関係です。

すべてのTOTP対応サービスで動作

アカウントが認証アプリをサポートしていれば、ここでも動作します。

Google GitHub Discord AWS Microsoft Binance Steam Coinbase Facebook Dropbox GitLab Slack Reddit Twitch LinkedIn Shopify WordPress 1Password Cloudflare + 数千のサービス

よくある質問

2FAセットアップコードとは何ですか?
2FAセットアップコード(シークレットキーとも呼ばれます)は、二要素認証を有効にしたときにサービスから提供されるbase32エンコードされた文字列です。認証アプリとサービスの両方が同じコードを生成するために使用する共有シークレットです。通常はQRコードとして提供されますが、常にテキスト版もコピーできます。
コードはどのくらいの頻度で更新されますか?
30秒ごとに更新されます。TOTP規格では、コード生成は現在時刻に基づいて30秒間隔で行われます。タイマーが終了すると、新しいコードが自動的に計算されます。次のウィンドウが始まると、古いコードは機能しなくなります(ほとんどのサービスでは少しの猶予期間があります)。
このツールは安全ですか?
はい、安全です。シークレットキーはブラウザから決して送信されません。すべてのコード生成は、ブラウザに組み込まれているWeb Crypto APIを使用してローカルで行われます。キーをサーバーに送信することはなく、cookieやlocalStorage、データベースにも保存されません。
オフラインでも動作しますか?
はい、動作します。ページが一度読み込まれた後、インターネット接続を切断しても生成器は動作し続けます。コードは現在時刻を使用してデバイス上で完全に計算されるため、ネットワーク接続は必要ありません。
コードが機能しない場合はどうすればよいですか?
最も一般的な原因は、30秒以上ずれた時計です。デバイスの時刻が自動的に同期されるように設定されているか確認してください。また、余分なスペースがないかシークレットキ全体がコピーされているかも確認してください。一部のサービスではキーの大文字小文字を区別します。
Google Authenticatorと互換性がありますか?
はい、互換性があります。このツールはGoogle Authenticator、Microsoft Authenticator、Authy、その他の標準準拠の認証アプリと同じTOTPアルゴリズム(RFC 6238)を使用します。これらのアプリで動作するシークレットキーであれば、ここでも同じコードが生成されます。
認証アプリとの違いは何ですか?
認証アプリはシークレットキーを保存するため、毎回再入力する必要がありません。このツールは何も保存しません。素早くコードが必要な時、認証アプリが入っていないデバイスを使用する時、セットアップ時にキーを確認したい時などに便利です。
複数のアカウントで使用できますか?
はい、一度に1つずつ、どのアカウントのコードでも生成できます。別のシークレットキーを貼り付けると、そのアカウントのコードが生成されます。キーは保存されないため、毎回手動で各キーを入力する必要があります。
TOTPとHOTPの違いは何ですか?
TOTP(Time-based One-Time Password)は現在時刻に基づいてコードを生成します。HOTP(HMAC-based One-Time Password)は、使用するたびに1つずつ増えるカウンターに基づいてコードを生成します。TOTPはコードが自動的に期限切れになるため、現在ではより広く使用されています。HOTPのコードは使用されるまで有効です。
シークレットキーは保存されますか?
いいえ、保存されません。シークレットキーは、どのような方法でも保存、ログ、送信は行われません。ページを開いている間のみ、ブラウザのメモリに存在します。タブを閉じると消えます。

ブログから

二要素認証に関するガイド、チュートリアル、セキュリティのヒント。

認証アプリ徹底比較:Google、Microsoft、Authyなど

人気の認証アプリを実用的に比較します。機能、バックアップオプション、そして異なるニーズに最適なアプリはどれか。

続きを読む

二要素認証の仕組み:初心者ガイド

オンラインセキュリティ初心者向けに、二要素認証を分かりやすく解説します。2FAとは何か、なぜ重要か、どう設定するかを説明します。

続きを読む

ブラウザベースの2FAジェネレーターは安全か?

ウェブベースのTOTPジェネレーターを秘密鍵に信頼できるか?クライアントサイド処理、セキュリティ上のトレードオフ、適した状況について技術的に解説します。

続きを読む