NEWS
新ツール3本「パスキー・2段階認証・ハッシュ」— パスワードの次を、作って試す
IT(エンジニア)カテゴリに、「パスワードの次」を手を動かして理解する3本を同時公開しました。読むだけでなく、自分の端末で実際に動かして仕組みが腑に落ちる——がねらいです。すべて ブラウザ内で完結(送信ゼロ)、入力した秘密鍵やファイルはサーバに送られません。
| ツール | 何ができる | 難易度 |
|---|---|---|
| パスキーの仕組みを整える | WebAuthn を図解+実際にパスキーを作ってログイン体験 | 中級 |
| 2段階認証(TOTP)を整える | 認証アプリの6桁コードを秘密鍵から再現、方式の強さを比較 | 中級 |
| ハッシュを整える | テキスト・ファイルの SHA-256 等を計算、改ざん・破損チェック | 中級 |
🔑 パスキーの仕組みを整える
パスワードに代わる「パスキー(WebAuthn)」を、図解 → 実体験の順で。登録・ログインで何が起きているか(端末が鍵ペアを生成し、公開鍵だけサーバに預け、秘密鍵は端末から出ない)を色分けで解説したあと、Touch ID / Windows Hello / 顔認証で本物のパスキーを作って、そのままログインまで試せます。
「秘密鍵は一度も外に出ていない」「偽サイトでは動かない(オリジン束縛)」を、自分の操作で確かめられるのがポイント。デモ用パスキーは totonoe.tech 専用・無害で、削除手順も載せています。
📱 2段階認証(TOTP)を整える
認証アプリ(Google Authenticator など)に表示される6桁の数字の正体を実演します。Base32 の秘密鍵を貼ると、アプリと同じ6桁コードが30秒ごとにブラウザ内で回ります(RFC 6238 準拠)。「通信していないのに同じ数字が出る」理由=共有秘密+時刻だけで計算している、が体感できます。
あわせて SMS / 認証アプリ / パスキー の強さの違いも比較表で整理。秘密鍵はサーバに送られません。
🔒 ハッシュを整える
テキストやファイルの SHA-256 / SHA-1 / SHA-384 / SHA-512 / MD5 を、入力するそばから計算。ファイルをドラッグ&ドロップして公式の SHA-256 と見比べれば、ダウンロードの改ざん・破損チェックができます。「ハッシュは一方向」「パスワード保存はソルト+bcrypt」といった、認証の土台になる考え方も解説しています。
3本に共通するのは、送信ゼロ——あなたの秘密鍵・パスキー・ファイルは、ブラウザの外に出ません。「攻撃の道具」ではなく、自分と組織を守るための知識を、安全な砂場で試せるようにしました。
※ 公開当初はITカテゴリに追加しましたが、その後「セキュリティ」を独立カテゴリにしたため、パスキー・2段階認証・ハッシュはそちらへ移動しました。