TOTP 생성기이란?

2단계 인증을 위한 무료 TOTP 및 HOTP 생성기입니다. base32 시크릿 키를 입력하면 일회용 코드를 만들어 줍니다. 30초마다 갱신되는 TOTP 코드(RFC 6238)는 Google Authenticator, Authy 등 대부분의 2FA 시스템과 호환되며, 카운터 기반 HOTP 코드(RFC 4226)는 YubiKey와 일부 은행 앱에 사용할 수 있습니다.

RFC 6238 (TOTP)와 RFC 4226 (HOTP)을 기기 안에서 완전하게 구현했으며, base32 시크릿은 페이지를 떠나지 않고 탭을 닫으면 사라집니다. 기본값(SHA-1, 6자리, 30초 간격)은 Google Authenticator, Authy, Microsoft Authenticator, 1Password와 대부분의 은행 앱 설정과 같습니다. 필요에 따라 SHA-256·SHA-512, 7자리 또는 8자리 코드, HOTP 카운터 모드도 사용할 수 있습니다. PBKDF2와 AES-GCM으로 암호화된 JSON 백업을 이용하면 동기화 서비스에 의존하지 않고도 저장된 모든 계정을 다른 기기로 옮길 수 있습니다.

사용 방법

1. TOTP 비밀 키(Base32)를 입력하거나 QR 코드를 스캔하여 가져오세요.
2. 6자리 코드가 자동으로 생성되어 30초마다 갱신되는 것을 확인하세요.
3. 현재 코드를 복사하여 만료되기 전에 로그인 화면에 붙여넣으세요.

사용 시기

• 인증기 휴대폰을 분실하거나 초기화했을 때 임시로 계정에 접근해야 할 때.
• 추가 모바일 앱 설치 없이 데스크톱에서 2FA 코드를 생성하고 싶을 때.
• 실제 공유 시크릿을 노출하지 않고 개발 단계에서 2FA 흐름을 테스트할 때.

결과

회사에서 2FA를 사용하는데 휴대폰을 분실했을 때 활용하세요. 설정 시 저장해둔 비밀 키를 여기에 입력하면 현재 6자리 코드를 받아 로그인할 수 있으며, 그 사이 새 인증 앱을 설정할 수 있습니다.

자주 묻는 질문

2FA 시크릿을 웹페이지에 입력해도 안전한가요?

TOTP 계산은 이 페이지 안에서 모두 끝나며, 시크릿이 담긴 요청은 전혀 보내지 않습니다. 다만 은행이나 주 이메일처럼 중요한 계정은 여전히 모바일 인증기를 권장합니다. 이 도구는 복구, 테스트, 중요도가 낮은 계정에 적합합니다.

Google이나 GitHub 같은 서비스에서 시크릿 키는 어디서 찾나요?

2FA 설정 화면에서 'QR 코드를 스캔할 수 없나요? 수동 입력' 같은 링크를 누르세요. A~Z와 2~7로 이루어진 16~32자 정도의 base32 문자열이 표시됩니다. 그 문자열을 이 도구의 시크릿 키 칸에 붙여 넣으면 됩니다.

방금 만든 코드인데 왜 거부되나요?

대부분 시계 차이 때문입니다. TOTP는 기기와 서버 시간이 같아야 하며, 30초 이상 어긋나면 코드가 맞지 않습니다. 기기를 인터넷 시간 자동 동기화로 설정하고 다시 시도해 보세요.

키를 직접 입력하지 않고 QR 코드를 스캔할 수 있나요?

가능합니다. 'QR 코드에서 가져오기'를 눌러 스크린샷을 업로드하거나 인쇄된 QR을 스캔하세요. 도구가 otpauth:// URI를 읽어 시크릿, 발행자, 계정 이름, 알고리즘, 자릿수, 주기를 자동으로 추출해 항목을 추가합니다.

계정을 다른 기기로 옮기려면 어떻게 하나요?

방법은 두 가지입니다. 모든 원본 시크릿이 남아 있다면 새 인증기에 직접 입력하거나 QR을 다시 스캔하면 됩니다. 그렇지 않다면 백업 버튼을 사용하세요. 강력한 비밀번호를 설정해 암호화된 JSON 파일을 내려받고, 새 기기에 복사한 뒤 같은 비밀번호로 가져오기를 누르면 모든 계정이 한 번에 복원됩니다. 원본 시크릿도 백업도 없다면 서비스에서 2FA를 처음부터 재설정해야 합니다.

관련 도구