Générateur d'OTP (TOTP/HOTP)
Configuration
Mode
Choisissez entre basé sur le temps (TOTP) ou basé sur un compteur (HOTP)
Algorithme
Algorithme de hachage pour la génération d’OTP
Chiffres
Nombre de chiffres dans le code OTP
Période
Intervalle de temps de validité du code TOTP
Clé secrète
Code généré
Paramètres du code QR
Vérifier le code
Vérifiez si un code est valide pour le secret actuel
URI d’authentification OTP
Utilisez cet URI ou scannez le code QR pour ajouter ce compte à une application d’authentification
Détails techniques
Comment fonctionne le générateur d’OTP
Ce que fait l’outil
Ce générateur d’OTP crée des mots de passe à usage unique basés sur le temps (TOTP) et des mots de passe à usage unique basés sur HMAC (HOTP) compatibles avec Google Authenticator, Authy et d’autres applications 2FA. Saisissez ou générez une clé secrète Base32, et l’outil produira des codes de 6 à 8 chiffres qui changent toutes les 30 ou 60 secondes pour le TOTP, ou s’incrémentent avec un compteur pour le HOTP. Tous les calculs s’exécutent localement dans votre navigateur via l’API Web Crypto, de sorte que votre secret ne quitte jamais votre appareil.
Cas d’usage courants pour les développeurs
Les développeurs utilisent un générateur TOTP en ligne pour tester des implémentations d’authentification à deux facteurs, vérifier que leurs bibliothèques OTP produisent les bons codes et déboguer les flux d’authentification. Lors de la création d’un système 2FA, vous pouvez utiliser cet outil pour générer des secrets de test, valider votre implémentation TOTP côté serveur et vous assurer que la synchronisation temporelle est correcte. Il aide également les équipes QA à vérifier les parcours 2FA sans installer d’applications d’authentification sur leurs appareils.
Formats de données et normes
L’outil OTP implémente les normes RFC 6238 (TOTP) et RFC 4226 (HOTP). Les clés secrètes utilisent l’encodage Base32, qui est le format standard pour les applications d’authentification. L’outil prend en charge les algorithmes de hachage SHA-1 (par défaut, le plus compatible), SHA-256 et SHA-512. Les codes de sortie peuvent comporter 6, 7 ou 8 chiffres, 6 étant le plus courant. Le format d’URI OTP Auth (otpauth://totp/...) est compatible avec Google Authenticator et des applications similaires.
Pièges courants et cas limites
Les codes TOTP sont extrêmement sensibles au temps. Si les horloges du serveur et du client sont désynchronisées de plus de 30 secondes, l’authentification échouera. La plupart des implémentations autorisent une fenêtre de 1 à 2 pas de temps pour gérer une légère dérive. SHA-1 est l’algorithme le plus largement pris en charge ; certaines anciennes applications d’authentification peuvent ne pas prendre en charge SHA-256 ou SHA-512. Assurez-vous que votre clé secrète est correctement encodée en Base32 : des caractères invalides provoqueront des erreurs de décodage.
Quand utiliser cet outil plutôt que du code
Utilisez ce générateur d’OTP pour tester, déboguer et vérifier votre implémentation 2FA pendant le développement. Pour les systèmes en production, générez et vérifiez les codes OTP sur votre serveur à l’aide de bibliothèques éprouvées comme pyotp (Python), speakeasy (Node.js) ou GoogleAuthenticator (divers langages). N’exposez jamais les clés secrètes dans du code côté client. Cet outil est idéal pour les workflows de développement, mais votre application doit gérer la vérification OTP côté serveur.