Anúncios incomodam? Ir Sem anúncios Hoje 

Gerador de Segredo TOTP / HOTP

DesenvolvedorSegurança

ANÚNCIO · REMOVER?

ENTRADA

SAÍDA

Lado cliente

ANÚNCIO · REMOVER?

Guia

Gerador de Segredo TOTP / HOTP

Gere segredos TOTP e HOTP criptograficamente seguros para aplicativos de autenticação de dois fatores como Google Authenticator e Authy. O gerador cria segredos codificados em Base32, produz um código QR escaneável através do padrão URI otpauth:// e exibe uma pré-visualização TOTP ao vivo para que você possa verificar se o segredo funciona antes de implementá-lo.

Como usar

Selecione o tipo de OTP (TOTP para baseado em tempo, HOTP para baseado em contador), insira um nome de emissor e um identificador de conta, escolha sua contagem de dígitos (6 ou 8), algoritmo (SHA-1, SHA-256 ou SHA-512) e período de tempo. Clique Gerar para criar um novo segredo. Escaneie o código QR com seu aplicativo autenticador para adicionar a conta e, em seguida, verifique se o código ao vivo corresponde.

Características

TOTP e HOTP – suporta senhas de uso único baseadas em tempo (RFC 6238) e baseadas em contador (RFC 4226)
Geração segura – usa crypto.getRandomValues() para segredos criptograficamente fortes
Codificação Base32 – saída compatível com todos os principais aplicativos autenticadores
QR code inline – gerado no lado do cliente a partir do URI otpauth://, sem serviços externos
Pré-visualização TOTP ao vivo – mostra o código atual de 6/8 dígitos atualizando em tempo real para verificar o segredo
Escolha de algoritmo – SHA-1 (padrão), SHA-256 ou SHA-512
Totalmente no lado do cliente – segredos nunca saem do seu navegador

ANÚNCIO · REMOVER?

 Perguntas frequentes

Qual é a diferença entre TOTP e HOTP?

TOTP (Senhas de Uso Único Baseadas em Tempo, RFC 6238) gera códigos com base na hora atual, atualizando a cada 30 segundos por padrão. HOTP (Senhas de Uso Único Baseadas em HMAC, RFC 4226) gera códigos com base em um contador que incrementa a cada uso. O TOTP é mais comum em sistemas modernos de 2FA porque não requer sincronização de contador entre servidor e cliente, mas o HOTP é útil em cenários offline ou assíncronos.
Por que o SHA-1 ainda é o algoritmo padrão para TOTP?

O SHA-1 continua sendo o padrão porque o RFC 6238 o especifica como linha de base e praticamente todos os aplicativos autenticadores (Google Authenticator, Authy, Microsoft Authenticator) o suportam. Embora o SHA-1 tenha fraquezas conhecidas em assinaturas digitais, o HMAC-SHA-1, como usado em TOTP, não é vulnerável a esses ataques. SHA-256 e SHA-512 oferecem segurança mais forte, mas têm suporte limitado de aplicativos.
Como funciona o esquema de URI otpauth://?

O URI otpauth:// codifica todos os parâmetros necessários para configurar um aplicativo autenticador: o segredo, o nome do emissor, o rótulo da conta, o algoritmo, a contagem de dígitos e o período de tempo. Os códigos QR incorporam este URI para que os usuários possam escanear e importar a conta sem entrada manual. O formato é: otpauth://totp/Emissor:Conta?secret=SEGREDODABASE32&issuer=Emissor&algorithm=SHA1&digits=6&period=30
É seguro gerar segredos TOTP em uma ferramenta de navegador?

Sim, quando a ferramenta é totalmente do lado do cliente. Este gerador usa a API Web Crypto para gerar segredos localmente e nunca os transmite para nenhum servidor. Você pode verificar isso verificando a aba de rede nas ferramentas de desenvolvedor do navegador – nenhuma solicitação de saída é feita durante a geração do segredo. Armazene os segredos gerados com segurança e nunca os compartilhe.