Tools100% Lokal

TOTP & HOTP Generator

RFC 6238 / 4226 · läuft vollständig in Ihrem Browser

Fügen Sie ein Base32-Geheimnis — oder eine ganze otpauth:// URI — ein und sehen Sie zu, wie der sechs-, sieben- oder achtstellige Code in Echtzeit durchläuft. Wählen Sie HMAC-SHA1, SHA-256 oder SHA-512, wechseln Sie zu einem 60-Sekunden-Fenster oder schalten Sie in den HOTP-Zähler-Modus für zählerbasiertes 2FA. Ihr Geheimnis verlässt nie die Seite.

Modus

Base32-Geheimnis oder otpauth:// URI0 chars

Algorithmus

Stellen

Periode

SHA-1 · 6 digits · 30 swaiting

Vorherig——————

Nächst——————

——————

Zum Kopieren klicken —

Nächster Code in

—

Zähler

—

Unix-Zeit

—

↗ Als QR für Authenticator-App

Wie es funktioniert

TOTP (zeitbasiertes Einmalpasswort, RFC 6238) und HOTP (HMAC-basiert, RFC 4226) berechnen einen Code, indem sie einen Zähler mit einem geteilten Geheimnis HMAC-signieren und das Ergebnis auf die geforderte Stellenzahl kürzen. Bei TOTP ist der Zähler floor(unixTime / period); bei HOTP wird der Zähler von der Anwendung geliefert und bei jedem erfolgreichen Gebrauch erhöht.

Diese Seite implementiert beide Standards mit dem vollen Optionssatz, der in echten Bereitstellungen relevant ist: HMAC-SHA1 (Standard für Legacy-Kompatibilität), SHA-256 und SHA-512; Codes mit 6, 7 oder 8 Stellen; 30- oder 60-Sekunden-Fenster für TOTP; und eine explizite Zähler-Eingabe für HOTP. Die HMAC-Berechnung läuft auf der nativen Web Crypto API des Browsers, sodass das Geheimnis nie eine Netzwerkgrenze überschreitet.

otpauth:// Import

Fügen Sie eine otpauth://totp/... oder otpauth://hotp/... URI in das Geheimnis-Feld ein, und alle Optionen werden aus ihren Parametern automatisch befüllt — Algorithmus, Stellen, Periode, Zähler, Geheimnis. Es ist dasselbe URI-Format, das die QR-Codes in Google Authenticator-Setup-Bildschirmen erzeugen, sodass Sie eine eingefügte URI direkt aus einer E-Mail oder 2FA-Setup-Seite kopieren und vor dem Import prüfen können, was sie tun würde.

In die andere Richtung übergibt der Als QR anzeigen-Button die aktuelle Konfiguration an den QR-Generator, sodass Sie sie mit dem Authenticator Ihres Telefons scannen können, ohne irgendetwas neu eintippen zu müssen.

Häufige Anwendungsfälle

2FA für ein Server-Konto einrichten und vor dem Abschluss der Konfiguration verifizieren, dass das Geheimnis korrekt gespeichert wurde.
Einen Einmalcode wiederherstellen, wenn Ihre Authenticator-App nicht erreichbar ist, Sie aber noch das ursprüngliche Geheimnis haben.
Eine OTP-basierte Automatisierung debuggen, die fehlschlägt — erzeugen Sie den erwarteten Code auf Ihrem Rechner und vergleichen Sie ihn mit dem, was Ihr Code produziert.
Eine verdächtige otpauth:// URI prüfen, die per Chat oder E-Mail eingegangen ist, bevor Sie sie auf Ihr Telefon importieren.
Eine 2FA-Implementierung gegen Vektor-Code-Pfade (SHA-256, 8 Stellen, 60 Sekunden) testen, ohne eine Drittanbieter-Bibliothek einzuziehen.

Datenschutz

Ihr Geheimnis wird nur in Ihrem Browser verarbeitet und nie übertragen, protokolliert oder gespeichert. Es gibt kein Analyse-Skript, keine Cookies, keine Telemetrie. Der vollständige Quellcode dieser Seite ist einfaches HTML und JavaScript — Rechtsklick und Quelltext anzeigen, falls Sie ihn vor dem Einfügen sensibler Inhalte auditieren möchten.