TOTPTime-based One-Time Password

TOTP は、HOTP (RFC 4226) を拡張し時刻をカウンタにした方式で、RFC 6238 で標準化されています。共有秘密鍵 (通常160bitのBase32) と現在のUNIX時刻を30秒で割った商を HMAC-SHA1 (またはSHA256/512) し、その出力を Truncate して6桁数字を得ます。サーバーとクライアントの時刻ズレに備え±1ステップ (前後30秒) を許容するのが慣習です。導入は QR コード ( otpauth://totp/Issuer:account?secret=...&issuer=... ) で Google Authenticator / Authy / 1Password / Microsoft Authenticator にスキャンさせるだけで、ベンダー非依存に動きます。SMS OTP より安全ですが共有鍵が漏れると無力なため、サーバー側の暗号化保管・流出検知が前提になります。フィッシング耐性は WebAuthn より低い点も認識が必要です。