TOTPとは
この記事は約 2 分で読めます
TOTP (Time-based One-Time Password) とは、現在の時刻に基づいて生成される ワンタイムパスワードの仕組みです。Google Authenticator や Microsoft Authenticator などの認証アプリで広く利用されています。通常 30 秒ごとに新しい 6 桁のコードが 生成され、パスワードに加えた二段階認証の要素として機能します。
TOTP の仕組み
TOTP は RFC 6238 で標準化されたアルゴリズムです。サーバーとクライアントが 共有する秘密鍵と現在の時刻を入力として、HMAC-SHA1 でハッシュ値を計算し、 そこから 6 桁の数値を抽出します。サーバーとクライアントの時計が同期していれば、 同じコードが生成されるため認証が成立します。二段階認証の書籍 (Amazon)で技術的な詳細を学べます。
TOTP の活用
パスつく.com で生成した強力なパスワードに TOTP を組み合わせることで、 パスワードが漏洩しても不正ログインを防止できます。TOTP の秘密鍵は バックアップコードとともに安全に保管しましょう。SMS 認証よりも TOTP の方が SIM スワップ攻撃に強く、より安全な二段階認証方式です。アカウント保護の実践書 (Amazon)も参考になります。