TOTP (시간 기반 일회용 비밀번호)

TOTP(RFC 6238)는 공유 비밀과 현재 시간 기반으로 30초마다 변하는 6자리 코드 생성. 서버와 본인 인증기 앱이 같은 비밀과 시간으로 코드 계산; 작은 윈도우 내에 일치해야. TOTP는 SIM 스왑 공격에 취약한 SMS보다 강한 2차 요소. 하드웨어 시큐리티 키(YubiKey, FIDO2)보다 약하지만 모든 서비스 지원이라 더 실용적. TOTP 비밀을 로컬 저장하는 인증기 앱: Aegis Authenticator(안드로이드), Ente Auth(크로스 플랫폼), 2FAS(크로스 플랫폼), KeePassXC(데스크탑), Strongbox/KeePassDX(모바일, KeePass 호환). Google Authenticator와 Microsoft Authenticator는 가능하면 회피 — 둘 다 백업·싱크에 문제 있어 유저들 접근 잃은 사례 발생.