Tools100% Local

Gerador TOTP e HOTP

RFC 6238 / 4226 · executado inteiramente no seu navegador

Cole um segredo Base32 — ou um URI otpauth:// inteiro — e veja o código de seis, sete ou oito dígitos rolar em tempo real. Escolha HMAC-SHA1, SHA-256 ou SHA-512, mude para uma janela de 60 segundos, ou alterne para o modo contador HOTP para 2FA baseado em contador. Seu segredo nunca sai da página.

Modo

Segredo Base32 ou URI otpauth://0 chars

Algoritmo

Dígitos

Período

SHA-1 · 6 digits · 30 swaiting

Anterior——————

Próximo——————

——————

Clique para copiar —

Próximo código em

—

Contador

—

Tempo Unix

—

↗ Mostrar como QR para app autenticador

Como funciona

TOTP (senha de uso único baseada em tempo, RFC 6238) e HOTP (baseado em HMAC, RFC 4226) ambos calculam um código assinando com HMAC um contador com um segredo compartilhado, e então truncando o resultado para o número de dígitos solicitado. Para TOTP o contador é floor(unixTime / period); para HOTP o contador é fornecido pela aplicação e incrementado a cada uso bem-sucedido.

Esta página implementa ambos os padrões com o conjunto completo de opções que implantações reais consideram: HMAC-SHA1 (padrão para compatibilidade legada), SHA-256 e SHA-512; códigos de 6, 7 ou 8 dígitos; janelas de 30 ou 60 segundos para TOTP; e entrada de contador explícita para HOTP. O cálculo HMAC roda na Web Crypto API nativa do navegador, então o segredo nunca cruza uma fronteira de rede.

Importação otpauth://

Cole um URI otpauth://totp/... ou otpauth://hotp/... no campo Segredo e todas as opções são preenchidas a partir de seus parâmetros — algoritmo, dígitos, período, contador, segredo. Este é o mesmo formato URI produzido pelos códigos QR nas telas de configuração do Google Authenticator, então você pode copiar um URI direto de um email ou página de configuração 2FA e inspecionar o que ele faria antes de importar.

No sentido oposto, o botão Mostrar como QR entrega a configuração atual ao gerador QR para que você escaneie no autenticador do telefone sem redigitar nada.

Casos de uso comuns

Configurar 2FA em uma conta de servidor e verificar que o segredo foi armazenado corretamente antes de finalizar a configuração.
Recuperar um código de uso único quando seu app autenticador está inacessível mas você ainda tem o segredo original.
Depurar uma automação baseada em OTP que está falhando — gere o código esperado na sua máquina e compare com o que seu código produz.
Inspecionar um URI otpauth:// suspeito recebido por chat ou email antes de importá-lo no telefone.
Testar uma implementação 2FA contra caminhos de código vetorial (SHA-256, 8 dígitos, 60 segundos) sem trazer uma biblioteca de terceiros.

Privacidade

Seu segredo é processado apenas no seu navegador e nunca é transmitido, registrado ou armazenado. Não há script de analítica, cookies ou telemetria. O código-fonte completo desta página é HTML e JavaScript simples — clique direito e veja o código-fonte se quiser auditar antes de colar algo sensível.