Tools100% Local

Generador TOTP y HOTP

RFC 6238 / 4226 · se ejecuta entirely en tu navegador

Pega un secreto Base32 — o un URI otpauth:// completo — y observa el código de seis, siete u ocho dígitos rodar en tiempo real. Elige HMAC-SHA1, SHA-256 o SHA-512, cambia a una ventana de 60 segundos, o pasa al modo contador HOTP para 2FA basado en contador. Tu secreto nunca sale de la página.

Modo

Secreto Base32 o URI otpauth://0 chars

Algoritmo

Dígitos

Período

SHA-1 · 6 digits · 30 swaiting

Anterior——————

Siguiente——————

——————

Clic para copiar —

Próximo código en

—

Contador

—

Tiempo Unix

—

↗ Mostrar como QR para Authenticator

Cómo funciona

TOTP (contraseña de un solo uso basada en tiempo, RFC 6238) y HOTP (basado en HMAC, RFC 4226) calculan un código firmando con HMAC un contador con un secreto compartido y truncando el resultado al número de dígitos solicitado. Para TOTP el contador es floor(unixTime / period); para HOTP el contador lo provee la aplicación y se incrementa en cada uso exitoso.

Esta página implementa ambos estándares con el conjunto completo de opciones que los despliegues reales requieren: HMAC-SHA1 (predeterminado por compatibilidad), SHA-256 y SHA-512; códigos de 6, 7 u 8 dígitos; ventanas de 30 o 60 segundos para TOTP; y entrada de contador explícita para HOTP. El cómputo HMAC corre sobre la Web Crypto API nativa del navegador, así que el secreto nunca cruza una frontera de red.

Importar otpauth://

Pega un URI otpauth://totp/... u otpauth://hotp/... en el campo Secreto y todas las opciones se rellenan desde sus parámetros — algoritmo, dígitos, periodo, contador, secreto. Es el mismo formato URI que producen los códigos QR de las pantallas de configuración de Google Authenticator, así que puedes copiar un URI directamente de un email o página de configuración 2FA e inspeccionar qué haría antes de importarlo.

En sentido inverso, el botón Mostrar como QR entrega la configuración actual al generador QR para que la escanees con la autenticadora de tu teléfono sin reescribir nada.

Casos de uso comunes

Configurar 2FA en una cuenta de servidor y verificar que el secreto se guardó correctamente antes de finalizar la configuración.
Recuperar un código de un solo uso cuando tu app autenticadora no está disponible pero aún tienes el secreto original.
Depurar una automatización basada en OTP que falla — genera el código esperado en tu máquina y compáralo con el que produce tu código.
Inspeccionar un URI otpauth:// sospechoso recibido por chat o email antes de importarlo en tu teléfono.
Probar una implementación 2FA contra rutas vectoriales (SHA-256, 8 dígitos, 60 segundos) sin recurrir a una librería de terceros.

Privacidad

Tu secreto se procesa solo en tu navegador y nunca se transmite, registra ni almacena. No hay scripts de analítica, ni cookies, ni telemetría. El código fuente completo de esta página es HTML y JavaScript planos — haz clic derecho y mira el código si quieres auditarlo antes de pegar algo sensible.