2FAPRO.COM

2단계 인증(2FA) 코드 생성기

Google, Facebook, Instagram 등 서비스를 위한 TOTP 코드 생성

사용할 서비스의 2FA 시크릿 키를 입력하세요. 공백과 포맷은 자동으로 정리됩니다.

시크릿 키는 서버에 저장되지 않으며 오직 사용자 기기에서만 처리됩니다.

QR 코드 스캔

이 도구 공유하기

저장된 계정

저장된 계정 없음

생성기 탭에서 계정을 추가하거나 백업에서 가져오세요

최근 키

기록 없음

생성된 코드가 여기에 표시됩니다

정보 및 도움말

2FA/TOTP란?

2FA(2단계 인증)은 두 가지 인증을 요구하는 보안 계층입니다. TOTP는 30초마다 변경되는 일회용 비밀번호 생성 알고리즘입니다.

시크릿 키는 어디서 얻나요?

보안

이 애플리케이션은 시크릿 키를 브라우저에서 로컬로 처리합니다. 데이터는 서버에 저장되거나 제3자에게 전송되지 않습니다. 시크릿 키는 항상 안전하게 보관하세요.

호환 서비스

Google, Facebook, Twitter, Microsoft, GitHub, Dropbox, Amazon 등 대부분의 클라우드 및 SNS 서비스와 호환됩니다.

2단계 인증(2FA) 완벽 가이드

2FA, TOTP 코드, authenticator 앱에 대해 알아야 할 모든 것, 그리고 2단계 인증으로 온라인 계정을 안전하게 보호하는 방법.

간단한 3단계로 2FA 코드 생성하는 방법

  1. 1

    Secret Key 복사

    Google, Facebook, GitHub 또는 기타 서비스에서 2단계 인증을 활성화할 때, QR code 옆에 표시된 Base32 secret key를 복사하세요.

  2. 2

    붙여넣고 TOTP 생성

    Secret key를 위의 2FA 생성기 입력란에 붙여넣고 Generate Code를 클릭하세요. 새로운 6자리 TOTP 코드가 브라우저에서 즉시 계산됩니다.

  3. 3

    2FA 코드로 로그인

    30초 타이머가 끝나기 전에 6자리 인증 코드를 로그인 양식에 입력하세요. 새 로그인마다 코드가 자동으로 갱신됩니다.

당사 2FA 생성기를 지원하는 인기 서비스 및 플랫폼

당사 2FA 코드 생성기는 RFC 6238 TOTP 표준을 따르는 모든 서비스와 완벽히 호환됩니다. 이 authenticator를 사용할 수 있는 가장 인기 있는 플랫폼은 다음과 같습니다:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

당사 무료 2FA TOTP 생성기를 사용해야 하는 이유

100% 비공개 및 로컬

모든 TOTP 코드 생성은 브라우저에서 로컬로 수행됩니다. 2FA secret key는 어떤 서버로도 전송되지 않으며, authenticator 데이터는 완전히 비공개로 유지됩니다.

즉시 6자리 코드

30초마다 자동 갱신되는 시간 기반 일회용 비밀번호를 즉시 생성합니다. Google Authenticator, Authy, Microsoft Authenticator의 완전한 대체품으로 작동합니다.

QR code 스캐너 내장

카메라로 모든 2FA QR code를 스캔하거나 이미지를 업로드하세요. 도구가 otpauth URI를 자동으로 읽으므로 Base32 secret key를 수동으로 입력할 필요가 없습니다.

TOTP 및 HOTP 모드

시간 기반(TOTP / RFC 6238)과 카운터 기반(HOTP / RFC 4226) 알고리즘 간 전환이 가능합니다. SHA-1, SHA-256, SHA-512 해시를 지원합니다.

2FA에 대한 자주 묻는 질문

2FA(2단계 인증)란 무엇인가요?
2FA, 즉 2단계 인증은 계정에 접근하기 위해 두 가지 서로 다른 확인 단계를 요구하는 보안 방식입니다: 알고 있는 것(비밀번호)과 가지고 있는 것(authenticator 앱의 2FA 코드). 해커가 비밀번호를 훔치더라도 시간 기반 2FA 코드 없이는 로그인할 수 없습니다.
이 2FA 생성기는 Google Authenticator와 호환되나요?
네. 당사의 온라인 2FA 생성기는 Google Authenticator, Microsoft Authenticator, Authy, 1Password와 정확히 동일한 RFC 6238 TOTP 알고리즘을 사용합니다. 동일한 secret key의 경우 여기서 생성되는 6자리 코드는 해당 앱의 코드와 일치합니다.
왜 2FA 코드는 30초마다 바뀌나요?
TOTP 코드는 시간 기반 일회용 비밀번호입니다. 현재 Unix 타임스탬프와 secret key에서 파생되며, 일정 간격(보통 30초)으로 순환합니다. 이 짧은 수명이 재전송 공격을 방지하고 2단계 인증을 안전하게 유지합니다.
이 웹사이트에 2FA secret key를 입력하는 것이 안전한가요?
네. 모든 2FA 코드 생성은 Web Crypto API를 사용하여 브라우저에서 로컬로 수행됩니다. Secret key는 기기를 벗어나지 않으며 어떤 서버로도 전송되지 않습니다. 최대한의 보안을 위해 secret key는 항상 비밀번호처럼 취급하고 공유하지 마세요.
TOTP와 HOTP의 차이는 무엇인가요?
TOTP(Time-based One-Time Password, RFC 6238)는 현재 시간을 기반으로 코드를 생성하므로 30초마다 변경됩니다. HOTP(HMAC-based One-Time Password, RFC 4226)는 증가하는 카운터를 사용합니다. 둘 다 2FA 코드 유형이지만, 현재는 TOTP가 훨씬 일반적입니다.
이것을 기본 authenticator 앱으로 사용할 수 있나요?
네. My Accounts 탭에서 암호화된 로컬 저장소로 여러 2FA 계정을 저장하고, 암호화된 백업을 내보내고, 다른 기기에서 복원할 수 있습니다. 이 도구는 프로그레시브 웹 앱(PWA)으로 작동하므로 네이티브 authenticator처럼 설치할 수 있습니다.
2FA 코드가 웹사이트에서 거부되면 어떻게 하나요?
잘못된 2FA 코드는 보통 기기 시계가 동기화되지 않았거나 secret key가 잘못 복사되었음을 의미합니다. Base32 secret에 여분의 공백이 없는지 확인하고, 시스템 시간이 자동으로 설정되어 있는지 확인한 후, 30초 갱신 후에 다음 코드를 시도해 보세요.
이 2FA 도구는 오프라인에서 작동하나요?
네. 처음 방문 후 authenticator가 service worker에 의해 캐시되므로 인터넷 연결 없이도 TOTP 코드를 생성할 수 있습니다. 여행 중이거나 기본 authenticator 앱을 사용할 수 없을 때 적합합니다.

2026년에 2단계 인증이 중요한 이유

비밀번호만으로는 더 이상 충분하지 않습니다. 매년 수십억 개의 자격 증명이 데이터 유출로 새어 나가고, 고도화된 phishing kit는 복잡한 비밀번호조차 뚫을 수 있습니다. 2FA, multi-factor authentication(MFA), 또는 2단계 인증이라고 불리는 2단계 인증은 원격 공격자가 쉽게 우회할 수 없는 두 번째 계층을 추가합니다.

이와 같은 TOTP authenticator는 가장 널리 지원되는 2FA 방법으로, Google, Microsoft, Apple ID, GitHub, Facebook, Instagram, Snapchat, TikTok, Steam, Epic Games, Fortnite, Discord 및 거의 모든 주요 온라인 서비스에서 작동합니다. 30초마다 순환하는 새로운 6자리 2FA 코드로 인해 유출된 비밀번호는 단독으로는 쓸모없어집니다.

이메일, 소셜미디어, 암호화폐 거래소, 클라우드 저장소, 인터넷 뱅킹, 게임 계정 등 가능한 모든 곳에서 2FA를 활성화하세요. 강력한 비밀번호 관리자와 사이트별 고유 비밀번호와 결합하면 올바르게 구성된 2단계 인증은 온라인 보안에 있어 할 수 있는 가장 큰 업그레이드 중 하나입니다.

2FA 방식 유형 비교: SMS, TOTP, 하드웨어 키, 생체 인증

오늘날 사용 가능한 2단계 인증에는 여러 유형이 있으며, 각각 다른 보안 수준과 편의성을 제공합니다. 이러한 옵션을 이해하면 각 계정에 적합한 2FA 방법을 선택할 수 있습니다. 캐주얼한 게임 로그인부터 고가치 은행 및 암호화폐 계정까지. 아래에서 2026년에 마주칠 주요 2FA 형태를 장단점과 당사의 권장 사항과 함께 공정하게 비교합니다.

2FA 방법 보안 편의성 적합한 용도
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA 은 모든 휴대폰에서 작동하기 때문에 가장 일반적인 2단계 인증 형태입니다. 비밀번호를 입력한 후 6자리 인증 코드가 담긴 문자 메시지가 번호로 전송됩니다. 편리하지만 SMS 2FA는 SIM swapping 공격에 취약합니다. 범죄자가 통신사를 속여 번호를 자신의 기기로 옮깁니다. NIST는 이미 고가치 계정에 대한 안전한 2FA 방법으로 SMS를 지원 중단했고, 주요 은행들도 TOTP authenticator 앱으로 전환할 것을 점점 더 권장하고 있습니다.

Authenticator apps (TOTP) 는 Google Authenticator, Microsoft Authenticator, Authy, 1Password처럼 네트워크 연결 없이 기기에서 로컬로 시간 기반 일회용 비밀번호를 생성합니다. 이는 TOTP 2FA를 더 빠르고 안전하게 만들며 SIM swap 공격에 면역이 되게 합니다. 코드는 RFC 6238 표준에 따라 30초마다 순환하며, 동일한 secret key가 이 브라우저 기반 생성기를 포함한 모든 호환 authenticator에서 작동합니다.

Hardware security keys 는 YubiKey, Google Titan, SoloKeys, Feitian처럼 FIDO2 / WebAuthn 표준을 사용하여 USB, NFC, Bluetooth 기기를 통해 물리적 소유를 증명합니다. 하드웨어 키는 phishing 저항성이 있어 2FA 보안의 황금 표준입니다. 가짜 로그인 페이지는 TOTP 코드와 달리 암호 서명을 수확할 수 없습니다. 가장 중요한 계정에 하드웨어 키를 사용하세요: 기본 이메일, 비밀번호 관리자, 암호화폐 거래소, 업무용 ID.

Push notification 2FA 앱은 Duo Mobile, Microsoft Authenticator 푸시 프롬프트, Okta Verify처럼 휴대폰에 확인 탭을 보냅니다. 6자리 2FA 코드를 입력하는 것보다 편리하지만 서비스 지원이 필요하며, MFA fatigue 공격에 취약합니다. 범죄자가 승인 요청을 스팸으로 보내고 사용자가 방심하여 Approve를 누르기를 기대합니다.

Biometric 2FA and passkeys 은 지문이나 얼굴 인식을 사용하며, 종종 기기에 바인딩된 passkey와 결합됩니다. Apple Face ID, Windows Hello, Android 지문 스캐너는 이미 로그인된 기기의 두 번째 요소로 점점 더 많이 사용됩니다. FIDO2 / WebAuthn 기반 passkey는 Google, Apple, Microsoft, GitHub 및 점점 증가하는 서비스에서 비밀번호와 TOTP 2FA를 점차 대체하고 있으며, 이것이 인증의 미래입니다.

당사의 권장 사항: 기본 2FA 방법으로 TOTP authenticator 앱을 사용하고, 가장 중요한 계정(기본 이메일, 비밀번호 관리자, 암호화폐, 업무용 ID)에는 하드웨어 보안 키를 보조로 사용하세요. 가능하면 SMS 2FA를 피하고 backup codes는 항상 안전한 장소에 오프라인으로 보관하세요.

인기 서비스에서 2FA 활성화 방법(단계별 가이드)

2단계 인증 설정은 플랫폼마다 조금씩 다르지만, 모든 주요 서비스에서 핵심 흐름은 동일합니다. 아래는 가장 인기 있는 플랫폼에서 2FA를 활성화하는 빠른 단계별 가이드이며, 모두 이 TOTP 생성기와 원활하게 작동합니다.

Google / Gmail에서 2FA 활성화

myaccount.google.com에 방문한 다음 Security, 2-Step Verification, Get Started로 이동합니다. 비밀번호로 로그인하고 Authenticator app을 선택하세요. Google이 QR code를 표시하면 당사 TOTP 생성기로 스캔하거나 Base32 secret key를 붙여넣으세요. Google은 Gmail 및 Google 계정의 추가 2FA 방법으로 Google Prompt 알림과 하드웨어 보안 키도 지원합니다.

Facebook / Meta에서 2FA 활성화

Facebook 프로필 사진을 클릭하고 Settings and Privacy, Settings, Accounts Center, Password and security, Two-factor authentication을 엽니다. Authentication app을 선택하고 QR code를 스캔하거나 secret key를 당사 2FA 코드 생성기로 복사하세요. Facebook은 백업으로 SMS를 허용하지만, 더 나은 보안을 위해 authenticator 앱 2FA를 강력히 권장합니다.

Discord에서 2FA 활성화

Discord를 열고 User Settings(톱니 아이콘), My Account, Enable Two-Factor Auth로 이동합니다. 비밀번호를 입력한 다음 표시된 QR code 또는 수동 Base32 key를 당사 2FA 코드 생성기와 함께 사용하세요. Discord backup codes는 항상 즉시 저장하세요. authenticator에 대한 접근을 잃으면 Discord는 계정 복구를 위해 이를 요구합니다.

GitHub에서 2FA 활성화

Settings, Password and authentication, Two-factor authentication, Enable로 이동합니다. Set up using an app을 선택하여 당사 2FA 도구나 RFC 6238 authenticator로 TOTP 코드를 생성하세요. GitHub는 추가 요소로 FIDO2 보안 키도 지원하며, 민감한 저장소의 모든 기여자에게 2FA를 의무화합니다.

Microsoft / Outlook에서 2FA 활성화

account.microsoft.com, Security, Advanced security options, Two-step verification, Turn on에 방문하세요. Microsoft는 자체 Microsoft Authenticator 앱을 선호하지만, 당사를 포함한 모든 RFC 6238 TOTP 생성기가 동일하게 작동합니다. 동일한 2FA 설정이 Outlook, Xbox, Microsoft 365, Teams, OneDrive 및 기타 모든 Microsoft 서비스를 포함합니다.

Fortnite / Epic Games에서 2FA 활성화

epicgames.com에 방문한 후 account, password-and-security, Two-factor authentication, Enable Authenticator App로 이동하세요. 당사 2FA 생성기로 QR code를 스캔하세요. Fortnite에서 2FA를 활성화하면 Boogiedown 이모트 보상도 받고 Rocket League 및 Epic Games Store 계정 보안도 강화됩니다.

Binance / Coinbase / Kraken에서 2FA 활성화

모든 주요 암호화폐 거래소 Binance, Coinbase, Kraken, Gemini, KuCoin, Bitstamp는 출금에 2FA를 요구합니다. 각 거래소의 security 탭에서 Google Authenticator 호환성을 활성화하고 secret key를 비밀번호 관리자에 저장하세요. backup codes 없이 암호화폐 계정에 대한 2FA 접근을 잃으면 자금에서 영구적으로 차단될 수 있습니다.

Instagram / TikTok / Snapchat에서 2FA 활성화

Instagram, TikTok, Snapchat 모두 Settings, Security 메뉴를 통해 authenticator 앱 2FA를 지원합니다. 각 앱은 모든 RFC 6238 TOTP 도구와 호환되는 QR code를 생성합니다. 소셜 계정이 계정 도용 및 재판매의 대상이 되는 빈도를 고려할 때, 2026년에는 모든 소셜미디어 계정에서 2단계 인증을 활성화하는 것이 필수입니다.

어떤 서비스에서든 2FA를 활성화한 후에는 실제로 필요해지기 전에 로그아웃하고 다시 로그인하여 즉시 테스트하세요. 이를 통해 authenticator 코드가 올바르게 작동하는지 확인하고 복구 backup codes를 안전하게 저장했는지 확인할 수 있습니다.

모든 사용자가 따라야 할 2FA 보안 모범 사례

2단계 인증을 활성화하는 것은 작업의 절반에 불과합니다. 다음 모범 사례를 따르면 authenticator 앱, SMS 코드, 복구 흐름을 노리는 최신 위협으로부터 2FA 설정을 안전하게 유지할 수 있습니다. 아래의 절반만 채택해도 2FA 위생 측면에서 95% 사용자보다 앞서게 됩니다.

  • 항상 backup codes를 저장하세요. 2FA를 지원하는 모든 서비스는 authenticator를 활성화할 때 8에서 10개의 일회용 복구 코드를 생성합니다. 인쇄하거나 비밀번호 관리자에 저장하거나 암호화된 메모에 보관하세요. backup codes가 없으면 휴대폰을 잃는 것은 계정을 영구적으로 잃는 것을 의미할 수 있습니다. 신원 증명 없이 강화된 2FA 계정을 복구할 수 있는 고객 지원은 없습니다.
  • 여러 authenticator 기기를 사용하세요. 이 도구에서 2FA 백업을 내보내고 두 번째 기기에서 가져오거나, TOTP secret을 기기 간 네이티브로 동기화하는 Authy / 1Password를 사용하세요. Google Authenticator에도 이제 공식 QR 내보내기 기능이 있습니다. 두 번째 기기를 가지고 있으면 가장 나쁜 시기에 휴대폰을 잃거나 고장내도 모든 2FA 계정에 대한 접근이 끊기지 않습니다.
  • MFA fatigue 공격을 주의하세요. 비밀번호를 아는 공격자가 2FA 푸시 알림 요청을 스팸으로 보내 습관이나 짜증으로 Approve를 누르기를 기대할 수 있습니다. 이는 Uber 등 유명한 유출 사건에서 사용되었습니다. 항상 어떤 앱이 확인을 요청하는지 확인하고 예기치 않은 프롬프트는 거부하세요. 정당한 로그인은 한밤중에 이유 없이 2FA 요청을 유발하는 경우가 거의 없습니다.
  • SIM swapping으로부터 보호하세요. SMS 2FA를 피하더라도 전화번호는 종종 계정 복구 흐름에 연결되어 있습니다. 범죄자가 SIM을 자신의 기기로 옮길 수 없도록 통신사에 계정에 PIN 또는 port-out 보호를 추가해 달라고 요청하세요. 이 변경만으로도 대부분의 SIM swap 공격을 차단할 수 있으며 모든 주요 통신사에서 무료입니다.
  • 2FA와 비밀번호 관리자를 결합하세요. 사이트별 고유한 강력한 비밀번호에 TOTP 2FA와 중요 계정용 하드웨어 보안 키를 더한 것이 2026년 계정 보안의 황금 표준입니다. 1Password, Bitwarden, LastPass, KeePass는 비밀번호와 함께 TOTP secret을 저장할 수 있으며, 일부는 원활한 로그인 경험을 위해 두 필드를 동시에 자동 입력하기도 합니다.
  • 지원 담당자에게도 2FA 코드를 절대 공유하지 마세요. 정당한 회사, 은행, 온라인 플랫폼이 6자리 2FA 코드를 큰 소리로 읽거나, 채팅에 입력하거나, 이메일로 보내라고 요청하는 일은 없습니다. 누군가 이를 요청한다면, 기술 지원을 가장하든, 은행이든, 택배 기사든 사기입니다. 전화를 끊고 공식 번호나 웹사이트를 통해 직접 회사에 연락하세요.
  • 매년 2FA 설정을 감사하세요. 2단계 인증을 활성화한 모든 계정을 나열하세요. 사용하지 않는 계정에서 2FA를 제거하고, 새로 만든 계정에서 활성화하며, backup codes가 여전히 작동하는지 확인하세요. 연례 2FA 감사는 오래된 복구 이메일, 구 전화번호, 잊혀진 authenticator seed를 잡아냅니다.
  • 가능한 경우 passkey로 업그레이드하세요. FIDO2 / WebAuthn passkey는 Google, Apple, Microsoft, GitHub, PayPal 및 수백 개의 다른 서비스에서 비밀번호와 TOTP 2FA를 점차 대체하고 있습니다. Passkey는 설계상 phishing 저항성이 있으며 기기의 secure enclave에 연결됩니다. 사이트가 passkey를 제공하면 2FA 코드에만 의존하지 말고 활성화하세요.

일반적인 2FA 문제 해결

잘 구성된 2단계 인증 설정에서도 문제가 발생할 수 있습니다. 아래는 사용자들이 직면하는 가장 일반적인 2FA 문제와 지원에 연락하지 않고도 대부분을 해결하는 실용적인 수정 방법입니다.

\"Invalid 2FA code\" 또는 \"인증 코드가 잘못됨\"

가장 일반적인 원인은 기기 시계의 드리프트입니다. TOTP는 정확한 시간에 의존하며, 30초 차이만으로도 코드 불일치가 발생합니다. Android: Settings, System, Date and time, Set time automatically. iOS: Settings, General, Date and Time, Set Automatically. Windows: Settings, Time and language, Date and time, Set time automatically. 서버는 보통 플러스 / 마이너스 1 윈도우 내 코드를 수락하므로, 30초 갱신 후 다음 코드를 시도하면 종종 작동합니다.

수동 입력 시 secret key 오타

Base32는 A부터 Z와 2부터 7만 사용합니다. 0, 1, 8, 9는 없습니다. O와 0 또는 I와 1 같은 모호한 문자는 모든 것을 망가뜨립니다. 수동으로 입력하는 대신 서비스의 QR code에서 secret key를 직접 복사하거나, 당사 내장 QR 스캐너를 사용하세요. 많은 서비스에서도 더 쉬운 수동 입력을 위해 QR code 옆에 평문 secret을 표시합니다.

authenticator 앱이 있는 휴대폰 분실

먼저 backup codes를 시도하세요. 대부분의 서비스는 2FA authenticator에 접근할 수 없을 때 하나를 요청합니다. TOTP secret을 내보내거나 동기화했다면 새 기기에서 복원하세요. 최후의 수단으로 서비스 지원팀에 연락하여 계정 복구 흐름을 따르세요. 일반적으로 정부 발급 ID 확인이나 다른 secret 확인을 포함합니다. 제3자 2FA 복구 서비스에 절대 돈을 지불하지 마세요. 사기입니다.

QR code를 스캔할 수 없음

조명, 카메라 초점, 화면 반사가 일반적인 원인입니다. QR을 이미지 파일로 다운로드하여 당사 이미지 스캐너에 업로드하거나, 표시된 Base32 secret key를 수동으로 입력해 보세요. QR 표시를 수정하는 브라우저 확장 프로그램이 없는지 확인하세요.

계정이 2FA에서 완전히 잠김

대부분의 서비스는 정부 발급 ID, 신용카드 뒷자리 4개, 복구 이메일, 신뢰할 수 있는 연락처를 통한 본인 확인을 지원합니다. 소셜 로그인(Google, Apple, Microsoft)은 종종 부모 계정의 2FA를 통해 잠금 해제할 수 있습니다. 암호화폐 거래소는 가장 엄격하므로 여러 날 걸리는 KYC 절차를 준비하세요. 신원을 적절히 문서화하고 각 서비스의 공식 복구 흐름을 따르세요.

푸시 알림이 오지 않음

authenticator 앱에 알림 권한이 있는지, 배터리 최적화가 특별히 비활성화되었는지, 기기에 인터넷 접근이 활성화되어 있는지 확인하세요. Android에서 일부 공격적인 배터리 절약 모드가 백그라운드 authenticator 서비스를 끌 수 있으니 2FA 앱을 화이트리스트에 추가하세요. 앱을 재시작하면 보통 푸시 토큰이 갱신됩니다.

TOTP의 내부 작동 방식(기술적 딥 다이브)

기술적으로 궁금한 분들을 위해, 2FA TOTP 코드가 RFC 6238에 따라 어떻게 단계별로 생성되는지 설명합니다. 이는 당사 2FA 생성기가 내부적으로 사용하는 것과 동일한 알고리즘이며, Google Authenticator, Microsoft Authenticator, Authy 및 기타 모든 호환 authenticator가 따르는 것과 동일한 알고리즘입니다.

  1. 1. Shared secret. 서비스에서 2FA를 활성화할 때 서버와 authenticator 앱 모두 임의의 secret key에 합의합니다. 일반적으로 160비트(20바이트)이며, 사람이 읽을 수 있는 표시를 위해 Base32로 인코딩됩니다. 이 shared secret은 정상 작동 중 양쪽을 벗어나지 않습니다.
  2. 2. 시간 카운터. 현재 Unix 타임스탬프를 가져와 30으로 나누고 결과를 버림합니다. 이는 30초마다 양쪽에서 증가하는 정수 카운터를 생성합니다. 시간을 카운터로 사용하면 서버와 authenticator 간 상태 동기화가 필요하지 않으며, 양쪽이 독립적으로 동일한 값을 계산합니다.
  3. 3. HMAC-SHA1. Shared secret을 키로, 8바이트 빅엔디안 카운터를 메시지로 사용하여 HMAC-SHA1 해시를 계산합니다. 출력은 20바이트 암호 해시입니다. 최신 구현에서는 양쪽이 알고리즘에 합의할 때 더 강력한 2FA를 위해 HMAC-SHA256 및 HMAC-SHA512도 지원합니다.
  4. 4. Dynamic truncation. 해시의 마지막 바이트를 가져와 하위 4비트를 마스킹하여 오프셋(0에서 15)을 얻습니다. 해시의 해당 오프셋에서 4바이트를 추출하고 상위 비트를 지운 후 결과를 32비트 정수로 취급합니다. 이것이 RFC 4226(HOTP)의 dynamic truncation 알고리즘이며 TOTP의 기초가 됩니다.
  5. 5. 자릿수를 위한 모듈로. 32비트 정수를 10의 자릿수 제곱으로 모듈로 계산합니다. 보통 표준 6자리 2FA 코드의 경우 10의 6제곱, 일부 은행 서비스의 경우 10의 8제곱입니다. 필요한 경우 앞에 0을 채워 7 같은 낮은 값 출력이 부분 코드가 아닌 000007이 되도록 합니다.

결과는 authenticator와 서버가 동일하게 계산한 6자리 인증 코드입니다. 로그인 시 코드를 입력하면 서버는 현재 시간 윈도우에 대한 예상 코드를 계산하여 비교합니다. HMAC가 충돌 저항성이 있기 때문에 shared secret을 보유한 사람만 유효한 TOTP 코드를 생성할 수 있습니다. 이것이 최신 2FA 보안 뒤에 있는 암호 수학입니다. 당사 구현에서는 이 모든 계산이 브라우저의 Web Crypto API를 사용하여 클라이언트 측에서 수행되므로 secret key가 서버에 접근하지 않으며, 생성하는 코드는 Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden 및 기타 모든 RFC 6238 준수 authenticator와 정확히 일치합니다.

2단계 인증 용어집

다양한 서비스에서 2FA를 활성화할 때 마주칠 가장 일반적인 2단계 인증 용어에 대한 빠른 참조.

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.