¿Odias los anuncios? Ir Sin publicidad Hoy 

Generador de Secretos TOTP / HOTP

DesarrolladorSeguridad

ANUNCIO PUBLICITARIO · ¿ELIMINAR?

APORTE

PROD.

Lado cliente

ANUNCIO PUBLICITARIO · ¿ELIMINAR?

Guía

Generador de Secretos TOTP / HOTP

Genere secretos TOTP y HOTP criptográficamente seguros para aplicaciones de autenticación de dos factores como Google Authenticator y Authy. El generador crea secretos codificados en Base32, produce un código QR escaneable a través del estándar URI otpauth:// y muestra una vista previa en vivo de TOTP para que pueda verificar que el secreto funciona antes de implementarlo.

Cómo utilizar

Seleccione el tipo de OTP (TOTP para basado en tiempo, HOTP para basado en contador), ingrese un nombre de emisor e identificador de cuenta, elija su recuento de dígitos (6 u 8), algoritmo (SHA-1, SHA-256 o SHA-512) y período de tiempo. Haga clic en Generar para crear un nuevo secreto. Escanee el código QR con su aplicación de autenticación para agregar la cuenta, luego verifique que el código en vivo coincida.

Características

TOTP y HOTP – admite contraseñas de un solo uso basadas en tiempo (RFC 6238) y basadas en contador (RFC 4226)
Generación segura – utiliza crypto.getRandomValues() para secretos criptográficamente fuertes
Codificación Base32 – salida compatible con todas las principales aplicaciones de autenticación
Código QR en línea – generado del lado del cliente a partir de la URI otpauth://, sin servicios externos
Vista previa TOTP en vivo – muestra el código actual de 6/8 dígitos actualizándose en tiempo real para verificar el secreto
Elección de algoritmo – SHA-1 (predeterminado), SHA-256 o SHA-512
Totalmente del lado del cliente – los secretos nunca salen de su navegador

ANUNCIO PUBLICITARIO · ¿ELIMINAR?

 Preguntas frecuentes

¿Cuál es la diferencia entre TOTP y HOTP?

TOTP (Contraseña de un solo uso basada en tiempo, RFC 6238) genera códigos basados en la hora actual, actualizándose cada 30 segundos por defecto. HOTP (Contraseña de un solo uso basada en HMAC, RFC 4226) genera códigos basados en un contador que se incrementa con cada uso. TOTP es más común en los sistemas modernos de 2FA porque no requiere sincronización de contador entre servidor y cliente, pero HOTP es útil en escenarios sin conexión o asíncronos.
¿Por qué SHA-1 sigue siendo el algoritmo predeterminado para TOTP?

SHA-1 sigue siendo el predeterminado porque RFC 6238 lo especifica como la línea base y prácticamente todas las aplicaciones de autenticación (Google Authenticator, Authy, Microsoft Authenticator) lo admiten. Si bien SHA-1 tiene debilidades conocidas en firmas digitales, HMAC-SHA-1 como se usa en TOTP no es vulnerable a esos ataques. SHA-256 y SHA-512 ofrecen una seguridad más sólida pero tienen un soporte de aplicación limitado.
¿Cómo funciona el esquema de URI otpauth://?

El URI otpauth:// codifica todos los parámetros necesarios para configurar una aplicación de autenticación: el secreto, el nombre del emisor, la etiqueta de la cuenta, el algoritmo, el recuento de dígitos y el período de tiempo. Los códigos QR incrustan este URI para que los usuarios puedan escanear e importar la cuenta sin entrada manual. El formato es: otpauth://totp/Issuer:Account?secret=BASE32SECRET&issuer=Issuer&algorithm=SHA1&digits=6&period=30
¿Es seguro generar secretos TOTP en una herramienta del navegador?

Sí, cuando la herramienta está completamente del lado del cliente. Este generador utiliza la API Web Crypto para generar secretos localmente y nunca los transmite a ningún servidor. Puede verificar esto revisando la pestaña de red en las herramientas de desarrollador del navegador: no se realizan solicitudes salientes durante la generación de secretos. Almacene los secretos generados de forma segura y nunca los comparta.