Gerador de Segredo TOTP / HOTP
Guia
Gerador de Segredo TOTP / HOTP
Gere segredos TOTP e HOTP criptograficamente seguros para aplicativos de autenticação de dois fatores como Google Authenticator e Authy. O gerador cria segredos codificados em Base32, produz um código QR escaneável através do padrão URI otpauth:// e exibe uma pré-visualização TOTP ao vivo para que você possa verificar se o segredo funciona antes de implementá-lo.
Como usar
Selecione o tipo de OTP (TOTP para baseado em tempo, HOTP para baseado em contador), insira um nome de emissor e um identificador de conta, escolha sua contagem de dígitos (6 ou 8), algoritmo (SHA-1, SHA-256 ou SHA-512) e período de tempo. Clique Gere para criar um novo segredo. Escaneie o código QR com seu aplicativo autenticador para adicionar a conta e, em seguida, verifique se o código ao vivo corresponde.
Características
- TOTP e HOTP – suporta senhas de uso único baseadas em tempo (RFC 6238) e baseadas em contador (RFC 4226)
- Geração segura – usa
crypto.getRandomValues()para segredos criptograficamente fortes - Codificação Base32 – saída compatível com todos os principais aplicativos autenticadores
- QR code inline – gerado no lado do cliente a partir do URI otpauth://, sem serviços externos
- Pré-visualização TOTP ao vivo – mostra o código atual de 6/8 dígitos atualizando em tempo real para verificar o segredo
- Escolha de algoritmo – SHA-1 (padrão), SHA-256 ou SHA-512
- Totalmente no lado do cliente – segredos nunca saem do seu navegador
Perguntas frequentes
-
Qual é a diferença entre TOTP e HOTP?
TOTP (Senhas de Uso Único Baseadas em Tempo, RFC 6238) gera códigos com base na hora atual, atualizando a cada 30 segundos por padrão. HOTP (Senhas de Uso Único Baseadas em HMAC, RFC 4226) gera códigos com base em um contador que incrementa a cada uso. O TOTP é mais comum em sistemas modernos de 2FA porque não requer sincronização de contador entre servidor e cliente, mas o HOTP é útil em cenários offline ou assíncronos.
-
Por que o SHA-1 ainda é o algoritmo padrão para TOTP?
O SHA-1 continua sendo o padrão porque o RFC 6238 o especifica como linha de base e praticamente todos os aplicativos autenticadores (Google Authenticator, Authy, Microsoft Authenticator) o suportam. Embora o SHA-1 tenha fraquezas conhecidas em assinaturas digitais, o HMAC-SHA-1, como usado em TOTP, não é vulnerável a esses ataques. SHA-256 e SHA-512 oferecem segurança mais forte, mas têm suporte limitado de aplicativos.
-
Como funciona o esquema de URI otpauth://?
O URI otpauth:// codifica todos os parâmetros necessários para configurar um aplicativo autenticador: o segredo, o nome do emissor, o rótulo da conta, o algoritmo, a contagem de dígitos e o período de tempo. Os códigos QR incorporam este URI para que os usuários possam escanear e importar a conta sem entrada manual. O formato é: otpauth://totp/Emissor:Conta?secret=SEGREDODABASE32&issuer=Emissor&algorithm=SHA1&digits=6&period=30
-
É seguro gerar segredos TOTP em uma ferramenta de navegador?
Sim, quando a ferramenta é totalmente do lado do cliente. Este gerador usa a API Web Crypto para gerar segredos localmente e nunca os transmite para nenhum servidor. Você pode verificar isso verificando a aba de rede nas ferramentas de desenvolvedor do navegador – nenhuma solicitação de saída é feita durante a geração do segredo. Armazene os segredos gerados com segurança e nunca os compartilhe.
Instale nossas extensões
Adicione ferramentas de IO ao seu navegador favorito para acesso instantâneo e pesquisa mais rápida
恵 O placar chegou!
Placar é uma forma divertida de acompanhar seus jogos, todos os dados são armazenados em seu navegador. Mais recursos serão lançados em breve!
Ferramentas essenciais
Ver tudo Novas chegadas
Ver tudoAtualizar: Nosso ferramenta mais recente foi adicionado em Abr 30, 2026
Envolver-se
Ajude-nos a continuar fornecendo ferramentas gratuitas valiosas
