2FAPRO.COM

二段階認証(2FA)コードジェネレーター

Google、Facebook、Instagramなど向けに秘密鍵からTOTPコードを生成

使用したいサービスの2FA秘密鍵を入力。スペースや書式は自動修正されます。

秘密鍵はサーバーに保存されず、端末内でのみ処理されます。

QRコードをスキャン

このツールを共有

保存済みアカウント

保存されたアカウントはありません

ジェネレータータブからアカウントを追加するか、バックアップからインポートしてください

最近のキー

履歴はまだありません

生成されたコードはここに表示されます

情報&ヘルプ

2FA/TOTPとは?

二段階認証(2FA)は2種類の認証を要求する追加セキュリティ層。TOTPは30秒ごとに変わるワンタイムパスワードを生成するアルゴリズムです。

秘密鍵の入手方法

セキュリティ

本アプリはブラウザ内で秘密鍵を処理。サーバー保存や第三者送信は一切ありません。ただし秘密鍵の管理は自己責任でお願いします。

対応サービス

Google、Facebook、Twitter、Microsoft、GitHub、Dropbox、AmazonなどTOTP標準を使用するクラウド/SNSサービス全般に対応。

二要素認証(2FA)完全ガイド

2FA、TOTP コード、authenticator アプリについて、そして二要素認証でオンラインアカウントを安全に保つ方法について知っておくべきすべて。

3 つの簡単なステップで 2FA コードを生成する方法

  1. 1

    Secret Key をコピー

    Google、Facebook、GitHub などのサービスで二要素認証を有効にするとき、QR code の横に表示される Base32 secret key をコピーします。

  2. 2

    貼り付けて TOTP を生成

    Secret key を上の 2FA ジェネレーター欄に貼り付け、Generate Code をクリックします。新しい 6 桁の TOTP コードがブラウザで即座に計算されます。

  3. 3

    2FA コードでログイン

    30 秒のタイマーが切れる前に、6 桁の認証コードをログインフォームに入力します。新しいログインごとにコードは自動的に更新されます。

当 2FA ジェネレーターに対応する人気サービスとプラットフォーム

当 2FA コードジェネレーターは、RFC 6238 TOTP 標準に準拠するあらゆるサービスと完全に互換性があります。この authenticator を使用できる最も人気のあるプラットフォームは以下の通りです:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

当社の無料 2FA TOTP ジェネレーターを使う理由

100% プライベートかつローカル

TOTP コードの生成はすべてブラウザ上でローカルに行われます。2FA secret key はどのサーバーにも送信されず、authenticator データは完全にプライベートに保たれます。

即時 6 桁コード

時間ベースのワンタイムパスワードを即座に生成し、30 秒ごとに自動更新されます。Google Authenticator、Authy、Microsoft Authenticator の完全な代替として機能します。

QR code スキャナー内蔵

カメラで 2FA QR code をスキャンするか、画像をアップロードします。ツールは otpauth URI を自動で読み取るため、Base32 secret key を手入力する必要はありません。

TOTP と HOTP モード

時間ベース(TOTP / RFC 6238)とカウンターベース(HOTP / RFC 4226)のアルゴリズムを切り替え可能。SHA-1、SHA-256、SHA-512 ハッシュに対応しています。

2FA に関するよくある質問

2FA(二要素認証)とは何ですか?
2FA、つまり二要素認証は、アカウントにアクセスするために 2 つの異なる確認ステップを必要とするセキュリティ方式です:知っているもの(パスワード)と持っているもの(authenticator アプリからの 2FA コード)。たとえハッカーがパスワードを盗んでも、時間ベースの 2FA コードなしではログインできません。
この 2FA ジェネレーターは Google Authenticator と互換性がありますか?
はい。当社のオンライン 2FA ジェネレーターは、Google Authenticator、Microsoft Authenticator、Authy、1Password と全く同じ RFC 6238 TOTP アルゴリズムを使用します。同じ secret key に対して、ここで生成される 6 桁コードはこれらのアプリのコードと一致します。
なぜ 2FA コードは 30 秒ごとに変わるのですか?
TOTP コードは時間ベースのワンタイムパスワードです。現在の Unix タイムスタンプと secret key から派生し、一定間隔(通常 30 秒)でローテーションします。この短い有効期間がリプレイ攻撃を防ぎ、二要素認証の安全性を保ちます。
このウェブサイトに 2FA secret key を入力しても安全ですか?
はい。2FA コードの生成はすべて Web Crypto API を使ってブラウザ上でローカルに行われます。Secret key はデバイスを離れることも、どのサーバーに送信されることもありません。最大限のセキュリティのため、secret key は常にパスワードと同様に扱い、共有しないでください。
TOTP と HOTP の違いは何ですか?
TOTP(Time-based One-Time Password、RFC 6238)は現在時刻に基づいてコードを生成するため、30 秒ごとに変化します。HOTP(HMAC-based One-Time Password、RFC 4226)はインクリメントするカウンターを使用します。両方とも 2FA コードの種類ですが、現在は TOTP の方がはるかに一般的です。
これをメインの authenticator アプリとして使えますか?
はい。My Accounts タブに暗号化されたローカルストレージで複数の 2FA アカウントを保存でき、暗号化バックアップをエクスポートして別のデバイスで復元できます。このツールはプログレッシブ Web アプリ(PWA)として動作し、ネイティブ authenticator のようにインストールできます。
2FA コードがウェブサイトに拒否された場合は?
2FA コードが無効な場合、通常はデバイスの時計が同期していないか、secret key が誤ってコピーされたことを意味します。Base32 secret に余分なスペースがないこと、システム時刻が自動設定であることを確認し、30 秒の更新後に次のコードを試してください。
この 2FA ツールはオフラインで動作しますか?
はい。初回アクセス後、authenticator は service worker によってキャッシュされるため、インターネット接続なしで TOTP コードを生成できます。旅行中やメインの authenticator アプリが利用できないときに最適です。

2026 年に二要素認証が重要である理由

パスワードだけではもはや十分ではありません。毎年何十億もの資格情報がデータ漏洩で流出し、高度な phishing kit は複雑なパスワードさえ突破できます。二要素認証、別名 2FA、multi-factor authentication(MFA)、二段階認証は、リモート攻撃者が容易に迂回できない第二の層を追加します。

このような TOTP authenticator は最も広くサポートされている 2FA 方式で、Google、Microsoft、Apple ID、GitHub、Facebook、Instagram、Snapchat、TikTok、Steam、Epic Games、Fortnite、Discord、そしてほぼすべての主要オンラインサービスで動作します。30 秒ごとに切り替わる新しい 6 桁の 2FA コードにより、漏洩したパスワード単体では無効になります。

メール、SNS、暗号資産取引所、クラウドストレージ、オンラインバンキング、ゲームアカウントなど、可能な限りあらゆる場所で 2FA を有効化してください。強力なパスワードマネージャーとサイトごとに固有のパスワードと組み合わせることで、正しく設定された二要素認証はオンラインセキュリティにおける最大のアップグレードの一つになります。

2FA 方式の種類比較:SMS、TOTP、ハードウェアキー、生体認証

現在利用可能な二要素認証には複数の種類があり、それぞれ異なるセキュリティレベルと利便性を備えています。これらの選択肢を理解することで、各アカウントに適した 2FA 方式を選択できます。カジュアルなゲームログインから高価値の銀行・暗号資産アカウントまで。以下に、2026 年に遭遇する主要な 2FA の形式を、長所、短所、当社の推奨事項とともに公正に比較します。

2FA 方式 セキュリティ 利便性 適した用途
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA はすべての携帯電話で動作するため、最も一般的な二要素認証の形式です。パスワードを入力した後、6 桁の確認コードを含むテキストメッセージが番号に送信されます。便利ですが、SMS 2FA は SIM swapping 攻撃に脆弱で、犯罪者がキャリアをだまして番号を自分のデバイスに移します。NIST はすでに高価値アカウント向けの安全な 2FA 方式として SMS を非推奨としており、大手銀行も TOTP authenticator アプリへの切り替えを推奨する傾向にあります。

Authenticator apps (TOTP) は Google Authenticator、Microsoft Authenticator、Authy、1Password などで、ネットワーク接続を必要とせず、デバイス上でローカルに時間ベースのワンタイムパスワードを生成します。これにより TOTP 2FA はより高速で安全、SIM swap 攻撃に耐性があります。コードは RFC 6238 標準に基づき 30 秒ごとにローテーションし、同じ secret key がすべての互換 authenticator(このブラウザベースのジェネレーターを含む)で動作します。

Hardware security keys は YubiKey、Google Titan、SoloKeys、Feitian などで、FIDO2 / WebAuthn 標準を使用し、USB、NFC、Bluetooth デバイスを通じて物理的所有を証明します。ハードウェアキーは phishing 耐性があるため 2FA セキュリティのゴールドスタンダードです。偽のログインページは TOTP コードとは異なり暗号署名を収穫できません。最も重要なアカウントにハードウェアキーを使用してください:メインのメール、パスワードマネージャー、暗号資産取引所、仕事の ID です。

Push notification 2FA アプリは Duo Mobile、Microsoft Authenticator プッシュプロンプト、Okta Verify などで、携帯電話に確認タップを送信します。6 桁の 2FA コードを入力するより便利ですが、サービスのサポートが必要で、MFA fatigue 攻撃に脆弱です。犯罪者が承認リクエストを大量送信し、油断してユーザーが Approve をタップすることを期待します。

Biometric 2FA and passkeys は指紋や顔認識を使用し、多くの場合デバイスに紐づく passkey と組み合わされます。Apple Face ID、Windows Hello、Android の指紋スキャナーは、すでにサインインしているデバイスの第二要素としてますます使用されています。FIDO2 / WebAuthn ベースの passkey は、Google、Apple、Microsoft、GitHub、そして増え続けるサービスでパスワードと TOTP 2FA を徐々に置き換えており、これが認証の未来です。

当社の推奨: メインの 2FA 方式として TOTP authenticator アプリを使用し、最も重要なアカウント(メインのメール、パスワードマネージャー、暗号資産、仕事の ID)にはハードウェアセキュリティキーを補助として使用してください。可能な限り SMS 2FA を避け、backup codes は常にオフラインで安全な場所に保管してください。

人気サービスで 2FA を有効にする方法(ステップバイステップ)

二要素認証の設定はプラットフォームごとに多少異なりますが、すべての主要サービスで核となる流れは同じです。以下は、最も人気のあるプラットフォームで 2FA を有効にするための素早いステップバイステップガイドで、すべてこの TOTP ジェネレーターとシームレスに動作します。

Google / Gmail で 2FA を有効化

myaccount.google.com にアクセスし、Security、2-Step Verification、Get Started に進みます。パスワードでサインインし、Authenticator app を選択します。Google が QR code を表示するので、当社の TOTP ジェネレーターでスキャンするか Base32 secret key を貼り付けます。Google は Gmail と Google アカウントの追加 2FA 方式として Google Prompt 通知とハードウェアセキュリティキーもサポートしています。

Facebook / Meta で 2FA を有効化

Facebook のプロフィール写真をクリックし、Settings and Privacy、Settings、Accounts Center、Password and security、Two-factor authentication を開きます。Authentication app を選択し、QR code をスキャンするか secret key を当社の 2FA コードジェネレーターにコピーします。Facebook はバックアップとして SMS を許可していますが、より良いセキュリティのため authenticator アプリ 2FA を強く推奨します。

Discord で 2FA を有効化

Discord を開き、User Settings(歯車アイコン)、My Account、Enable Two-Factor Auth に進みます。パスワードを入力し、表示される QR code または手動 Base32 key を当社の 2FA コードジェネレーターで使用します。Discord backup codes は必ずすぐに保存してください。authenticator へのアクセスを失った場合、Discord はアカウント復旧のためにそれを要求します。

GitHub で 2FA を有効化

Settings、Password and authentication、Two-factor authentication、Enable に進みます。Set up using an app を選び、当社の 2FA ツールまたは任意の RFC 6238 authenticator で TOTP コードを生成します。GitHub は追加要素として FIDO2 セキュリティキーもサポートしており、機密リポジトリのすべての貢献者に 2FA を必須としています。

Microsoft / Outlook で 2FA を有効化

account.microsoft.com、Security、Advanced security options、Two-step verification、Turn on にアクセスします。Microsoft は独自の Microsoft Authenticator アプリを推奨していますが、任意の RFC 6238 TOTP ジェネレーター(当社を含む)が全く同じように動作します。同じ 2FA 設定は Outlook、Xbox、Microsoft 365、Teams、OneDrive、その他すべての Microsoft サービスをカバーします。

Fortnite / Epic Games で 2FA を有効化

epicgames.com にアクセスし、account、password-and-security、Two-factor authentication、Enable Authenticator App に進みます。当社の 2FA ジェネレーターで QR code をスキャンします。Fortnite で 2FA を有効にすると Boogiedown エモート報酬ももらえ、Rocket League と Epic Games Store アカウントのセキュリティも向上します。

Binance / Coinbase / Kraken で 2FA を有効化

すべての主要な暗号資産取引所 Binance、Coinbase、Kraken、Gemini、KuCoin、Bitstamp は、出金に 2FA を必須としています。各取引所の security タブで Google Authenticator 互換性を有効化し、secret key をパスワードマネージャーに保存してください。backup codes なしで暗号資産アカウントの 2FA アクセスを失うと、資金から永久に締め出される可能性があります。

Instagram / TikTok / Snapchat で 2FA を有効化

Instagram、TikTok、Snapchat はすべて Settings、Security メニューから authenticator アプリ 2FA をサポートしています。各アプリは任意の RFC 6238 TOTP ツールと互換性のある QR code を生成します。SNS アカウントがアカウント窃盗と転売のターゲットになる頻度を考えると、2026 年にはすべての SNS アカウントで二要素認証を有効にすることは必須です。

どのサービスで 2FA を有効にした後も、実際に必要になる前に、ログアウトして再ログインしてすぐにテストしてください。これにより authenticator のコードが正しく動作することを確認でき、復旧 backup codes を安全に保存していることも確認できます。

すべてのユーザーが守るべき 2FA セキュリティのベストプラクティス

二要素認証を有効にするのは作業の半分にすぎません。次のベストプラクティスに従うことで、authenticator アプリ、SMS コード、復旧フローを狙う最新の脅威から 2FA 設定を守れます。以下の半分でも採用すれば、2FA 衛生において 95% のユーザーよりも優位に立てます。

  • 必ず backup codes を保存してください。 2FA をサポートするすべてのサービスは、authenticator を有効化したときに 8 から 10 個のワンタイム復旧コードを生成します。印刷してパスワードマネージャーに保存するか、暗号化されたメモに保管してください。backup codes がないと、携帯電話を失うことはアカウントを永久に失うことを意味する可能性があります。身元確認なしで強化された 2FA アカウントを復旧できるカスタマーサポートはありません。
  • 複数の authenticator デバイスを使用してください。 このツールから 2FA バックアップをエクスポートして 2 台目のデバイスにインポートするか、TOTP secret をデバイス間でネイティブに同期する Authy / 1Password を使用してください。Google Authenticator にも公式の QR エクスポート機能があります。2 台目のデバイスを持つことで、最悪のタイミングで携帯電話を失ったり破損したりしてもすべての 2FA アカウントへのアクセスが途切れることがなくなります。
  • MFA fatigue 攻撃に注意してください。 あなたのパスワードを知っている攻撃者は、習慣や苛立ちで Approve をタップすることを期待し、2FA プッシュ通知リクエストを大量送信するかもしれません。これは Uber などの著名な漏洩事件で使用されました。どのアプリが確認を要求しているかを常に確認し、予期しないプロンプトを拒否してください。正当なログインで深夜に理由なく 2FA リクエストが発生することはほとんどありません。
  • SIM swapping から守ってください。 SMS 2FA を避けていても、電話番号はアカウント復旧フローに紐づいていることがよくあります。犯罪者が SIM を自分のデバイスに移せないように、キャリアにアカウントに PIN または port-out 保護を追加するよう依頼してください。この変更だけでほとんどの SIM swap 攻撃をブロックでき、すべての主要キャリアで無料です。
  • 2FA とパスワードマネージャーを組み合わせてください。 サイトごとに固有の強力なパスワードに TOTP 2FA、そして重要なアカウントにハードウェアセキュリティキーを加えることが、2026 年のアカウントセキュリティのゴールドスタンダードです。1Password、Bitwarden、LastPass、KeePass はパスワードと一緒に TOTP secret を保存でき、一部はシームレスなログイン体験のために両方のフィールドを同時に自動入力することもできます。
  • サポート相手にも 2FA コードを絶対に共有しないでください。 正当な企業、銀行、オンラインプラットフォームが、6 桁の 2FA コードを声に出して読んだり、チャットに入力したり、メールで送信するよう求めることはありません。誰かがそれを要求したら、テクニカルサポートを名乗ろうと、あなたの銀行を名乗ろうと、宅配業者を名乗ろうと、それは詐欺です。電話を切り、公式番号またはウェブサイトから直接会社に連絡してください。
  • 毎年 2FA 設定を監査してください。 二要素認証を有効にしたすべてのアカウントをリスト化してください。未使用アカウントから 2FA を削除し、新しく作成されたアカウントで有効にし、backup codes がまだ動作することを確認してください。年次 2FA 監査で、古い復旧メールアドレス、古い電話番号、忘れられた authenticator seed を見つけ出せます。
  • 可能な場合は passkey にアップグレードしてください。 FIDO2 / WebAuthn passkey は、Google、Apple、Microsoft、GitHub、PayPal、その他数百のサービスでパスワードと TOTP 2FA を徐々に置き換えています。Passkey は設計上 phishing 耐性があり、デバイスの secure enclave に紐づいています。サイトが passkey を提供している場合、2FA コードだけに頼るのではなく、それを有効化してください。

2FA の一般的な問題のトラブルシューティング

適切に設定された二要素認証設定でも問題が発生することがあります。以下は、ユーザーが直面する最も一般的な 2FA 問題と、サポートに連絡せずにほとんどを解決する実用的な修正方法です。

「Invalid 2FA code」または「認証コードが無効です」

最も一般的な原因はデバイスの時計のずれです。TOTP は正確な時間に依存しており、30 秒のオフセットでもコードの不一致を引き起こします。Android の場合:Settings、System、Date and time、Set time automatically です。iOS の場合:Settings、General、Date and Time、Set Automatically です。Windows の場合:Settings、Time and language、Date and time、Set time automatically です。サーバーは通常プラス / マイナス 1 ウィンドウ内のコードを受け入れるため、30 秒の更新後に次のコードを試すとうまくいくことがよくあります。

手入力時の secret key の入力ミス

Base32 は A から Z と 2 から 7 のみを使用し、0、1、8、9 はありません。O と 0、I と 1 のような曖昧な文字はすべてを壊します。手入力する代わりにサービスの QR code から直接 secret key をコピーするか、当社内蔵の QR スキャナーを使用してください。多くのサービスは、より簡単な手入力のために QR code の横に平文の secret も表示します。

authenticator アプリの入った携帯電話の紛失

まず、backup codes を試してください。ほとんどのサービスは 2FA authenticator にアクセスできない場合にいずれか 1 つを要求します。TOTP secret をエクスポートまたは同期していれば、新しいデバイスで復元してください。最後の手段として、サービスのサポートチームに連絡し、そのアカウント復旧フロー(通常は政府発行の ID 検証や他の secret 確認を含む)に従ってください。サードパーティの 2FA 復旧サービスには絶対に支払わないでください。それらは詐欺です。

QR code がスキャンできない

照明、カメラのフォーカス、画面の反射が一般的な原因です。QR を画像ファイルとしてダウンロードして当社の画像スキャナーにアップロードするか、表示された Base32 secret key を手動で入力してみてください。QR 表示を変更するブラウザ拡張がないことを確認してください。

アカウントが 2FA から完全にロックアウト

ほとんどのサービスは、政府発行 ID、クレジットカードの下 4 桁、復旧メール、信頼できる連絡先による本人確認をサポートしています。ソーシャルログイン(Google、Apple、Microsoft)は多くの場合、親アカウントの 2FA 経由でロック解除できます。暗号資産取引所は最も厳しく、数日の KYC プロセスを覚悟してください。身元を適切に文書化し、各サービスの公式復旧フローに従ってください。

プッシュ通知が届かない

authenticator アプリに通知権限があること、バッテリー最適化が特別に無効化されていること、デバイスがインターネットにアクセスできることを確認してください。Android では、一部の積極的なバッテリーセーバーがバックグラウンドの authenticator サービスを切ってしまうため、2FA アプリをホワイトリストに追加してください。アプリを再起動すると通常プッシュトークンが更新されます。

TOTP の仕組み(技術的ディープダイブ)

技術的に興味のある方のために、2FA TOTP コードがどのように RFC 6238 に従って段階的に生成されるかを示します。これは当社の 2FA ジェネレーターが内部で使用するアルゴリズムと同じで、Google Authenticator、Microsoft Authenticator、Authy、その他すべての互換 authenticator が従うアルゴリズムと同じです。

  1. 1. Shared secret。 サービスで 2FA を有効にすると、サーバーと authenticator アプリの両方がランダムな secret key に合意します。通常は 160 ビット(20 バイト)で、人間が読めるように Base32 でエンコードされます。この shared secret は通常の操作では両側から離れることはありません。
  2. 2. タイムカウンター。 現在の Unix タイムスタンプを取り、30 で割り、結果を floor します。これにより、30 秒ごとに両側でインクリメントする整数カウンターが生成されます。時間をカウンターとして使用するため、サーバーと authenticator 間で状態同期は不要で、両側が独立して同じ値を計算します。
  3. 3. HMAC-SHA1。 Shared secret をキーとして、8 バイトのビッグエンディアンカウンターをメッセージとして HMAC-SHA1 ハッシュを計算します。出力は 20 バイトの暗号ハッシュです。最新の実装では、両側がアルゴリズムに合意する場合のより強力な 2FA のために HMAC-SHA256 と HMAC-SHA512 もサポートします。
  4. 4. Dynamic truncation。 ハッシュの最後のバイトを取り、下位 4 ビットをマスクしてオフセット(0 から 15)を取得します。ハッシュのそのオフセットから 4 バイトを抽出し、上位ビットをクリアし、結果を 32 ビット整数として扱います。これは RFC 4226(HOTP)の dynamic truncation アルゴリズムで、TOTP の基礎となっています。
  5. 5. 桁数のための剰余演算。 32 ビット整数の 10 の桁数乗の剰余を計算します。通常、標準の 6 桁 2FA コードの場合は 10 の 6 乗、一部の銀行サービスの場合は 10 の 8 乗です。必要に応じて先頭にゼロを埋め、7 のような低い値の出力が部分的なコードではなく 000007 になるようにします。

結果は、authenticator とサーバーによって同一に計算された 6 桁の認証コードです。ログイン時にコードを入力すると、サーバーは現在の時間ウィンドウに対して期待されるコードを計算し、比較します。HMAC は衝突耐性があるため、shared secret を持つ者だけが有効な TOTP コードを生成できます。これが最新の 2FA セキュリティの背後にある暗号数学です。当社の実装では、これらの計算すべてがブラウザの Web Crypto API を使用してクライアント側で行われるため、secret key がサーバーに触れることはなく、生成するコードは Google Authenticator、Authy、Microsoft Authenticator、1Password、Bitwarden、その他すべての RFC 6238 準拠 authenticator と完全に一致します。

二要素認証用語集

さまざまなサービスで 2FA を有効にする際に遭遇する最も一般的な二要素認証用語のクイックリファレンス。

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.