מחולל OTP (TOTP/HOTP)

כיצד מחולל ה-OTP עובד

מה הכלי עושה

מחולל OTP זה יוצר סיסמאות חד-פעמיות מבוססות זמן (TOTP) וסיסמאות חד-פעמיות מבוססות HMAC (HOTP) התואמות ל-Google Authenticator, Authy ואפליקציות 2FA נוספות. הזינו או צרו מפתח סודי ב-Base32, והכלי יפיק קודים בני 6–8 ספרות שמתחלפים כל 30 או 60 שניות עבור TOTP, או מתקדמים עם מונה עבור HOTP. כל החישובים מתבצעים מקומית בדפדפן שלכם באמצעות Web Crypto API, כך שהסוד שלכם לעולם לא עוזב את המכשיר.

מקרי שימוש נפוצים למפתחים

מפתחים משתמשים במחולל TOTP מקוון כדי לבדוק מימושים של אימות דו-שלבי, לוודא שספריות ה-OTP שלהם מפיקות קודים נכונים, ולנפות באגים בזרימות אימות. בעת בניית מערכת 2FA, ניתן להשתמש בכלי זה כדי ליצור סודות בדיקה, לאמת את מימוש ה-TOTP בצד השרת, ולהבטיח שסנכרון הזמן תקין. הוא גם מסייע לצוותי QA לאמת תהליכי עבודה של 2FA ללא התקנת אפליקציות מאמת במכשירים שלהם.

פורמטי נתונים ותקנים

כלי ה-OTP מיישם את התקנים RFC 6238 (TOTP) ו-RFC 4226 (HOTP). מפתחות סודיים משתמשים בקידוד Base32, שהוא הפורמט הסטנדרטי עבור אפליקציות מאמת. הכלי תומך באלגוריתמי הגיבוב SHA-1 (ברירת מחדל, התואם ביותר), SHA-256 ו-SHA-512. קודי הפלט יכולים להיות בני 6, 7 או 8 ספרות, כאשר 6 הוא הנפוץ ביותר. פורמט ה-OTP Auth URI ‏(otpauth://totp/...) תואם ל-Google Authenticator ולאפליקציות דומות.

מלכודות נפוצות ומקרי קצה

קודי TOTP רגישים מאוד לזמן. אם שעוני השרת והלקוח אינם מסונכרנים ביותר מ-30 שניות, האימות ייכשל. רוב המימושים מאפשרים חלון של 1–2 צעדי זמן כדי להתמודד עם סטייה קלה. SHA-1 הוא האלגוריתם הנתמך ביותר; חלק מאפליקציות המאמת הישנות עשויות שלא לתמוך ב-SHA-256 או ב-SHA-512. ודאו שהמפתח הסודי שלכם מקודד כראוי ב-Base32 — תווים לא חוקיים יגרמו לשגיאות פענוח.

מתי להשתמש בכלי הזה לעומת קוד

השתמשו במחולל OTP זה לצורכי בדיקות, ניפוי באגים ואימות מימוש ה-2FA שלכם במהלך הפיתוח. עבור מערכות פרודקשן, צרו ואמתו קודי OTP בשרת שלכם באמצעות ספריות מבוססות כמו pyotp (Python), speakeasy (Node.js) או GoogleAuthenticator (שפות שונות). לעולם אל תחשפו מפתחות סודיים בקוד צד-לקוח. כלי זה אידיאלי לתהליכי עבודה בפיתוח, אך היישום שלכם צריך לטפל באימות OTP בצד השרת.