مولد سر TOTP / HOTP
مرشد
مولد سر TOTP / HOTP
قم بإنشاء أسرار TOTP و HOTP آمنة تشفيرياً لتطبيقات المصادقة الثنائية مثل Google Authenticator و Authy. يقوم المولد بإنشاء أسرار مشفرة بـ Base32، وينتج رمز QR قابل للمسح عبر معيار URI otpauth://، ويعرض معاينة TOTP مباشرة حتى تتمكن من التحقق من أن السر يعمل قبل نشره.
كيف تستعمل
حدد نوع OTP (TOTP للوقت، HOTP للعداد)، أدخل اسم جهة الإصدار ومعرّف الحساب، اختر عدد الأرقام (6 أو 8)، الخوارزمية (SHA-1، SHA-256، أو SHA-512)، والفترة الزمنية. انقر يولد لإنشاء سر جديد. امسح رمز QR ضوئياً باستخدام تطبيق المصادقة الخاص بك لإضافة الحساب، ثم تحقق من تطابق الرمز المباشر.
سمات
- TOTP و HOTP – يدعم رموز كلمة المرور لمرة واحدة القائمة على الوقت (RFC 6238) والقائمة على العداد (RFC 4226)
- إنشاء آمن – يستخدم
crypto.getRandomValues()للأسرار القوية تشفيرياً - تشفير Base32 – إخراج متوافق مع جميع تطبيقات المصادقة الرئيسية
- رمز QR المضمن – تم إنشاؤه من جانب العميل من URI otpauth://، لا توجد خدمات خارجية
- معاينة TOTP المباشرة – يعرض الرمز الحالي المكون من 6/8 أرقام ويتغير في الوقت الفعلي للتحقق من السر
- اختيار الخوارزمية – SHA-1 (الافتراضي)، SHA-256، أو SHA-512
- بالكامل من جانب العميل – الأسرار لا تغادر متصفحك أبداً
التعليمات
-
ما الفرق بين TOTP و HOTP؟
يقوم TOTP (كلمة مرور لمرة واحدة قائمة على الوقت، RFC 6238) بإنشاء رموز بناءً على الوقت الحالي، ويتم تحديثها كل 30 ثانية افتراضياً. يقوم HOTP (كلمة مرور لمرة واحدة قائمة على HMAC، RFC 4226) بإنشاء رموز بناءً على عداد يزداد مع كل استخدام. يعد TOTP أكثر شيوعاً في أنظمة المصادقة الثنائية الحديثة لأنه لا يتطلب مزامنة العداد بين الخادم والعميل، ولكن HOTP مفيد في السيناريوهات غير المتصلة بالإنترنت أو غير المتزامنة.
-
لماذا لا تزال SHA-1 هي الخوارزمية الافتراضية لـ TOTP؟
تبقى SHA-1 افتراضية لأن RFC 6238 تحددها كخط الأساس وتدعمها جميع تطبيقات المصادقة تقريباً (Google Authenticator، Authy، Microsoft Authenticator). في حين أن SHA-1 لديها نقاط ضعف معروفة في التوقيعات الرقمية، فإن HMAC-SHA-1 كما هو مستخدم في TOTP غير معرض لتلك الهجمات. توفر SHA-256 و SHA-512 أماناً أقوى ولكن دعم التطبيقات لها محدود.
-
كيف تعمل مخطط URI otpauth://؟
يقوم URI otpauth:// بتشفير جميع المعلمات اللازمة لتكوين تطبيق المصادقة: السر، اسم الجهة المصدرة، تسمية الحساب، الخوارزمية، عدد الأرقام، والفترة الزمنية. تقوم رموز QR بتضمين هذا URI حتى يتمكن المستخدمون من مسح الحساب واستيراده دون إدخال يدوي. التنسيق هو: otpauth://totp/Issuer:Account?secret=BASE32SECRET&issuer=Issuer&algorithm=SHA1&digits=6&period=30
-
هل من الآمن إنشاء أسرار TOTP في أداة المتصفح؟
نعم، عندما تكون الأداة بالكامل من جانب العميل. يستخدم هذا المولد Web Crypto API لإنشاء الأسرار محلياً ولا يقوم أبداً بإرسالها إلى أي خادم. يمكنك التحقق من ذلك عن طريق فحص علامة التبويب الشبكة في أدوات مطوري المتصفح - لا يتم إجراء أي طلبات صادرة أثناء إنشاء السر. قم بتخزين الأسرار التي تم إنشاؤها بأمان ولا تشاركها أبداً.
تثبيت ملحقاتنا
أضف أدوات IO إلى متصفحك المفضل للوصول الفوري والبحث بشكل أسرع
恵 وصلت لوحة النتائج!
لوحة النتائج هي طريقة ممتعة لتتبع ألعابك، يتم تخزين جميع البيانات في متصفحك. المزيد من الميزات قريبا!
أدوات يجب تجربتها
عرض الكلشارك
ساعدنا على الاستمرار في تقديم أدوات مجانية قيمة
