Tools100% Local

Générateur TOTP et HOTP

RFC 6238 / 4226 · s'exécute entièrement dans votre navigateur

Collez un secret Base32 — ou un URI otpauth:// entier — et regardez le code à six, sept ou huit chiffres défiler en temps réel. Choisissez HMAC-SHA1, SHA-256 ou SHA-512, basculez sur une fenêtre de 60 secondes, ou passez en mode compteur HOTP pour le 2FA basé sur compteur. Votre secret ne quitte jamais la page.

Mode

Secret Base32 ou URI otpauth://0 chars

Algorithme

Chiffres

Période

SHA-1 · 6 digits · 30 swaiting

Précédent——————

Suivant——————

——————

Cliquer pour copier —

Code suivant dans

—

Compteur

—

Temps Unix

—

↗ Afficher comme QR pour l'app d'auth

Comment ça marche

TOTP (mot de passe à usage unique basé sur le temps, RFC 6238) et HOTP (basé sur HMAC, RFC 4226) calculent un code en signant un compteur en HMAC avec un secret partagé, puis en tronquant le résultat au nombre de chiffres demandé. Pour TOTP le compteur est floor(unixTime / period); pour HOTP le compteur est fourni par l'application et incrémenté à chaque utilisation réussie.

Cette page implémente les deux standards avec l'ensemble complet d'options qu'attendent les déploiements réels: HMAC-SHA1 (par défaut pour la compatibilité héritée), SHA-256 et SHA-512; codes de 6, 7 ou 8 chiffres; fenêtres de 30 ou 60 secondes pour TOTP; et entrée de compteur explicite pour HOTP. Le calcul HMAC tourne sur la Web Crypto API native du navigateur, donc le secret ne traverse jamais une frontière réseau.

Importation otpauth://

Collez un URI otpauth://totp/... ou otpauth://hotp/... dans le champ Secret et toutes les options se remplissent depuis ses paramètres — algorithme, chiffres, période, compteur, secret. C'est le même format URI produit par les QR codes des écrans de configuration de Google Authenticator, vous pouvez donc copier un URI directement d'un email ou d'une page de configuration 2FA et inspecter ce qu'il ferait avant de l'importer.

En sens inverse, le bouton Afficher comme QR transmet la configuration actuelle au générateur QR pour que vous puissiez la scanner avec l'authentificateur de votre téléphone sans rien retaper.

Cas d'utilisation courants

Configurer le 2FA sur un compte serveur et vérifier que le secret a été stocké correctement avant de finaliser la configuration.
Récupérer un code à usage unique quand votre app d'auth est inaccessible mais que vous avez encore le secret original.
Déboguer une automatisation basée OTP qui échoue — générez le code attendu sur votre machine et comparez à ce que produit votre code.
Inspecter un URI otpauth:// suspect reçu par chat ou email avant de l'importer sur votre téléphone.
Tester une implémentation 2FA contre des chemins de code vectoriels (SHA-256, 8 chiffres, 60 secondes) sans tirer de bibliothèque tierce.

Confidentialité

Votre secret n'est traité que dans votre navigateur et n'est jamais transmis, journalisé ou stocké. Il n'y a aucun script d'analytique, aucun cookie, aucune télémétrie. Le code source complet de cette page est du HTML et JavaScript clair — clic droit et voir le code source si vous voulez l'auditer avant de coller quelque chose de sensible.