Tools100% स्थानीय

TOTP और HOTP जनरेटर

RFC 6238 / 4226 · पूरी तरह आपके ब्राउज़र में

एक Base32 सीक्रेट — या एक पूरा otpauth:// URI — पेस्ट करें और छह-, सात-, या आठ-अंकीय कोड को रीयल टाइम में चलते देखें। HMAC-SHA1, SHA-256 या SHA-512 चुनें, 60-सेकंड विंडो पर स्विच करें, या काउंटर-आधारित 2FA के लिए HOTP काउंटर मोड पर पलटें। आपका सीक्रेट कभी पृष्ठ नहीं छोड़ता।

मोड

Base32 सीक्रेट या otpauth:// URI0 chars

एल्गोरिथम

अंक

अवधि

SHA-1 · 6 digits · 30 swaiting

पिछला——————

अगला——————

——————

कॉपी करने के लिए क्लिक करें —

अगला कोड

—

काउंटर

—

Unix समय

—

↗ Authenticator ऐप के लिए QR के रूप में दिखाएँ

यह कैसे काम करता है

TOTP (समय-आधारित एक-बार पासवर्ड, RFC 6238) और HOTP (HMAC-आधारित, RFC 4226) दोनों एक साझा सीक्रेट के साथ एक काउंटर पर HMAC-हस्ताक्षर करके एक कोड की गणना करते हैं, फिर परिणाम को अनुरोधित अंक गिनती तक छोटा करते हैं। TOTP के लिए काउंटर floor(unixTime / period) है; HOTP के लिए काउंटर एप्लिकेशन द्वारा प्रदान किया जाता है और प्रत्येक सफल उपयोग पर बढ़ाया जाता है।

यह पृष्ठ वास्तविक परिनियोजन के लिए आवश्यक विकल्पों के पूर्ण सेट के साथ दोनों मानकों को लागू करता है: HMAC-SHA1 (विरासत संगतता के लिए डिफ़ॉल्ट), SHA-256 और SHA-512; 6, 7 या 8-अंकीय कोड; TOTP के लिए 30 या 60-सेकंड विंडो; और HOTP के लिए एक स्पष्ट काउंटर इनपुट। HMAC गणना ब्राउज़र की नेटिव Web Crypto API पर चलती है, इसलिए सीक्रेट कभी नेटवर्क सीमा पार नहीं करता।

otpauth:// आयात

सीक्रेट फ़ील्ड में एक otpauth://totp/... या otpauth://hotp/... URI पेस्ट करें और प्रत्येक विकल्प इसके मापदंडों से स्वचालित रूप से भर जाता है — एल्गोरिथम, अंक, अवधि, काउंटर, सीक्रेट। यह वही URI प्रारूप है जो Google Authenticator सेटअप स्क्रीन में QR कोड द्वारा उत्पादित किया जाता है, इसलिए आप एक ईमेल या 2FA सेटअप पृष्ठ से सीधे एक पेस्ट किया गया URI कॉपी कर सकते हैं और आयात करने से पहले निरीक्षण कर सकते हैं कि यह क्या करेगा।

दूसरी दिशा में जाते हुए, QR के रूप में दिखाएँ बटन वर्तमान कॉन्फ़िगरेशन को QR जनरेटर को सौंप देता है ताकि आप कुछ भी पुनः टाइप किए बिना अपने फ़ोन के प्रमाणीकर्ता में स्कैन कर सकें।

सामान्य उपयोग

एक सर्वर खाते पर 2FA सेट करें और कॉन्फ़िगरेशन को अंतिम रूप देने से पहले सत्यापित करें कि सीक्रेट सही ढंग से संग्रहीत किया गया था।
जब आपका प्रमाणीकर्ता ऐप अप्राप्य है लेकिन आपके पास अभी भी मूल सीक्रेट है तो एक एक-बार कोड पुनर्प्राप्त करें।
एक OTP-आधारित स्वचालन को डीबग करें जो विफल हो रहा है — अपनी मशीन पर अपेक्षित कोड जनरेट करें और अपने कोड द्वारा उत्पादित से तुलना करें।
चैट या ईमेल पर प्राप्त एक संदिग्ध otpauth:// URI का अपने फ़ोन पर आयात करने से पहले निरीक्षण करें।
तृतीय-पक्ष लाइब्रेरी खींचे बिना वेक्टर कोड पथों (SHA-256, 8 अंक, 60 सेकंड) के विरुद्ध एक 2FA कार्यान्वयन का परीक्षण करें।

गोपनीयता

आपका सीक्रेट केवल आपके ब्राउज़र में संसाधित होता है और कभी प्रसारित, लॉग या संग्रहीत नहीं होता है। कोई विश्लेषण स्क्रिप्ट, कुकीज़, या टेलीमेट्री नहीं है। इस पृष्ठ का पूरा स्रोत सादा HTML और JavaScript है — कुछ भी संवेदनशील पेस्ट करने से पहले इसका ऑडिट करना चाहते हैं तो दायाँ-क्लिक करें और स्रोत-दृश्य देखें।