DevToys Web Pro iconDevToys Web ProBlog
Oceń nas:
Wypróbuj rozszerzenie przeglądarki:

Generator OTP (TOTP/HOTP)

Konfiguracja

  • Tryb

    Wybierz tryb oparty na czasie (TOTP) lub oparty na liczniku (HOTP)

  • Algorytm

    Algorytm haszujący do generowania OTP

  • Cyfry

    Liczba cyfr w kodzie OTP

  • Okres

    Przedział czasu ważności kodu TOTP

Klucz tajny

    • Wygenerowany kod

    • ------

    Ustawienia kodu QR

    Zweryfikuj kod

    Sprawdź, czy kod jest prawidłowy dla bieżącego sekretu

    URI uwierzytelniania OTP

    • Użyj tego URI lub zeskanuj kod QR, aby dodać to konto do aplikacji uwierzytelniającej

    Szczegóły techniczne

    Jak działa generator OTP

    Co robi narzędzie

    Ten generator OTP tworzy hasła jednorazowe oparte na czasie (TOTP) oraz hasła jednorazowe oparte na HMAC (HOTP) zgodne z Google Authenticator, Authy i innymi aplikacjami 2FA. Wprowadź lub wygeneruj tajny klucz Base32, a narzędzie wygeneruje kody 6–8-cyfrowe, które zmieniają się co 30 lub 60 sekund dla TOTP albo zwiększają się wraz z licznikiem dla HOTP. Wszystkie obliczenia są wykonywane lokalnie w Twojej przeglądarce przy użyciu Web Crypto API, więc Twój sekret nigdy nie opuszcza urządzenia.

    Typowe zastosowania dla programistów

    Programiści używają internetowego generatora TOTP do testowania implementacji uwierzytelniania dwuskładnikowego, weryfikowania, czy ich biblioteki OTP generują poprawne kody, oraz debugowania przepływów logowania. Podczas budowy systemu 2FA możesz użyć tego narzędzia do generowania sekretów testowych, walidacji serwerowej implementacji TOTP i upewnienia się, że synchronizacja czasu jest poprawna. Pomaga też zespołom QA w weryfikacji procesów 2FA bez instalowania aplikacji uwierzytelniających na urządzeniach.

    Formaty danych i standardy

    Narzędzie OTP implementuje standardy RFC 6238 (TOTP) i RFC 4226 (HOTP). Klucze sekretne używają kodowania Base32, które jest standardowym formatem dla aplikacji uwierzytelniających. Narzędzie obsługuje algorytmy skrótu SHA-1 (domyślny, najbardziej kompatybilny), SHA-256 oraz SHA-512. Kody wyjściowe mogą mieć 6, 7 lub 8 cyfr, przy czym 6 jest najczęstsze. Format OTP Auth URI (otpauth://totp/...) jest zgodny z Google Authenticator i podobnymi aplikacjami.

    Typowe pułapki i przypadki brzegowe

    Kody TOTP są niezwykle wrażliwe na czas. Jeśli zegary serwera i klienta są rozjechane o więcej niż 30 sekund, uwierzytelnianie się nie powiedzie. Większość implementacji dopuszcza okno 1–2 kroków czasowych, aby obsłużyć niewielki dryf. SHA-1 jest najszerzej wspieranym algorytmem; niektóre starsze aplikacje uwierzytelniające mogą nie obsługiwać SHA-256 lub SHA-512. Upewnij się, że klucz sekretny jest poprawnie zakodowany w Base32 — nieprawidłowe znaki spowodują błędy dekodowania.

    Kiedy używać tego narzędzia zamiast kodu

    Używaj tego generatora OTP do testowania, debugowania i weryfikacji implementacji 2FA podczas developmentu. W systemach produkcyjnych generuj i weryfikuj kody OTP na serwerze, korzystając ze sprawdzonych bibliotek, takich jak pyotp (Python), speakeasy (Node.js) lub GoogleAuthenticator (różne języki). Nigdy nie ujawniaj kluczy sekretnych w kodzie po stronie klienta. To narzędzie świetnie sprawdza się w procesach deweloperskich, ale Twoja aplikacja powinna obsługiwać weryfikację OTP po stronie serwera.