TOTP（ワンタイムパスワード）とは何ですか？

時間に基づいて一定間隔で変わる使い捨てパスワードを生成する仕組み。二要素認証（2FA）でパスワードに加えて本人確認の精度を高める。

TOTP（ワンタイムパスワード）のポイントは？

Time-based One-Time Passwordの略で、現在時刻をもとに一時的なパスワードを生成する。Google AuthenticatorやMicrosoft Authenticatorなどのアプリで広く利用されている。通常30秒ごとに6桁の数字が変わり、一度使うと無効になる。パスワードが漏洩しても、TOTPがなければログインできないため安全性が大幅に向上する

【てぃーおーてぃーぴー】

TOTP（ワンタイムパスワード）とは？

💡 30秒ごとに変わる「使い捨て暗証番号」で本人確認を強化

📌 このページのポイント

Time-based One-Time Passwordの略で、現在時刻をもとに一時的なパスワードを生成する
Google AuthenticatorやMicrosoft Authenticatorなどのアプリで広く利用されている
通常30秒ごとに6桁の数字が変わり、一度使うと無効になる
パスワードが漏洩しても、TOTPがなければログインできないため安全性が大幅に向上する

TOTPの仕組み

ひよこ

TOTPってどういう仕組み？

ペンギン先生

最初にサーバとアプリで共通の秘密鍵を共有しておくんだ。あとは現在時刻とその秘密鍵を使って、同じアルゴリズムで同じ6桁のコードを計算するよ。時刻が同じなら同じコードが出るから、サーバ側で検証できるんだ。

ひよこ

SMSで届くコードとは違うの？

ペンギン先生

違うよ。SMSはネットワーク経由でコードが送られるから、傍受されるリスクがある。TOTPはアプリ内で計算するからネットワークを使わない分、安全性が高いんだ。だからSMSより TOTPアプリを使う方が推奨されているよ。

ひよこ

スマホを無くしたらログインできなくなる？

ペンギン先生

そのリスクはあるね。だから設定時にバックアップコードを保存しておくことが超重要なんだ。また、複数のデバイスに設定したり、バックアップ対応のアプリを使ったりする対策もあるよ。

ひよこ

30秒以内に入力しないとダメなの？

ペンギン先生

基本的にはそうだけど、サーバ側は前後1〜2個のコードも受け付けることが多いよ。時計のズレに対応するためだね。でもあまりモタモタすると無効になるから、表示されたらサッと入力するのがベストだよ。

まとめ：ざっくりこれだけ覚えればOK！

「TOTP」って出てきたら「時間ベースで変わる使い捨てパスワードのことで、二要素認証に使うんだな」と思えればだいたいOK！

📖 おまけ：英語の意味

「Time-based One-Time Password」＝時間ベースのワンタイムパスワード

💬 時刻と秘密鍵から計算するから、サーバとアプリで同じコードが出せるんだよ

← 用語集にもどる

TOTP（ワンタイムパスワード） とは？

TOTP（ワンタイムパスワード）とは？