TOTP 與 HOTP 產生器

RFC 6238 / 4226 · 完全在瀏覽器中執行

工作原理

TOTP(以時間為基礎的一次性密碼,RFC 6238)與 HOTP(以 HMAC 為基礎,RFC 4226)都是用共用金鑰對計數器做 HMAC 簽章,然後將結果截斷為指定位數。TOTP 的計數器是 floor(unixTime / period);HOTP 的計數器由應用提供,每次成功使用後遞增。

本頁實作了兩種標準並支援真實部署常見的全部選項:HMAC-SHA1(出於歷史相容性預設)、SHA-256 與 SHA-512;6、7 或 8 位驗證碼;TOTP 的 30 或 60 秒視窗;以及 HOTP 的顯式計數器輸入。HMAC 計算執行在瀏覽器原生 Web Crypto API 上,金鑰永遠不會跨越網路邊界。

otpauth:// 匯入

在金鑰欄位中貼上 otpauth://totp/... 或 otpauth://hotp/... URI,所有選項都會從其參數自動填入 — 演算法、位數、週期、計數器與金鑰。這正是 Google Authenticator 設定 QR 碼所產生的 URI 格式,因此你可以直接從電子郵件或 2FA 設定頁複製貼上的 URI,在匯入前先看看它實際會做什麼。

反過來,產生 QR 按鈕會把當前設定交給 QR 產生器,讓你直接掃進手機的驗證器,無需重新輸入。

常見使用情境

• 在伺服器帳號上設定 2FA,在最終提交設定前驗證金鑰已被正確儲存。
• 驗證 App 不可用但你仍持有原始金鑰時,還原一次性驗證碼。
• 除錯以 OTP 為基礎的自動化:在自己機器上產生預期驗證碼,與你的程式碼所產生的對比。
• 檢查透過聊天或郵件收到的可疑 otpauth:// URI,在匯入手機之前先做審查。
• 在不引入第三方函式庫的情況下,針對向量程式碼路徑(SHA-256、8 位、60 秒)測試 2FA 實作。

隱私

你的金鑰僅在瀏覽器中處理,絕不傳輸、記錄或儲存。沒有分析腳本、沒有 Cookie、沒有遙測。本頁完整原始碼就是普通 HTML 與 JavaScript — 在貼上敏感內容前,你可以右鍵檢視原始碼進行審計。