Генератор OTP (TOTP/HOTP)
Настройки
Режим
Выберите режим: по времени (TOTP) или по счётчику (HOTP)
Алгоритм
Алгоритм хеширования для генерации OTP
Цифры
Количество цифр в OTP-коде
Период
Интервал времени действия кода TOTP
Секретный ключ
Сгенерированный код
Настройки QR-кода
Проверить код
Проверьте, действителен ли код для текущего секрета
URI OTP Auth
Используйте этот URI или отсканируйте QR-код, чтобы добавить этот аккаунт в приложение-аутентификатор
Технические детали
Как работает генератор OTP
Что делает инструмент
Этот генератор OTP создаёт одноразовые пароли на основе времени (TOTP) и одноразовые пароли на основе HMAC (HOTP), совместимые с Google Authenticator, Authy и другими приложениями 2FA. Введите или сгенерируйте секретный ключ Base32 — и инструмент будет выдавать 6–8-значные коды, которые меняются каждые 30 или 60 секунд для TOTP либо увеличиваются вместе со счётчиком для HOTP. Все вычисления выполняются локально в вашем браузере с использованием Web Crypto API, поэтому ваш секрет никогда не покидает устройство.
Распространенные сценарии использования для разработчиков
Разработчики используют онлайн-генератор TOTP, чтобы тестировать реализации двухфакторной аутентификации, проверять, что их OTP-библиотеки выдают корректные коды, и отлаживать потоки аутентификации. При создании системы 2FA вы можете использовать этот инструмент для генерации тестовых секретов, валидации серверной реализации TOTP и проверки корректности синхронизации времени. Он также помогает QA-командам проверять сценарии 2FA без установки приложений-аутентификаторов на устройства.
Форматы данных и стандарты
Инструмент OTP реализует стандарты RFC 6238 (TOTP) и RFC 4226 (HOTP). Секретные ключи используют кодирование Base32 — это стандартный формат для приложений-аутентификаторов. Инструмент поддерживает хэш-алгоритмы SHA-1 (по умолчанию, наиболее совместимый), SHA-256 и SHA-512. Выходные коды могут быть длиной 6, 7 или 8 цифр, при этом 6 — самый распространённый вариант. Формат OTP Auth URI (otpauth://totp/...) совместим с Google Authenticator и аналогичными приложениями.
Распространенные ошибки и крайние случаи
Коды TOTP крайне чувствительны ко времени. Если часы на сервере и клиенте рассинхронизированы более чем на 30 секунд, аутентификация не пройдёт. Большинство реализаций допускают окно в 1–2 временных шага, чтобы компенсировать небольшой дрейф. SHA-1 — самый широко поддерживаемый алгоритм; некоторые старые приложения-аутентификаторы могут не поддерживать SHA-256 или SHA-512. Убедитесь, что секретный ключ корректно закодирован в Base32 — недопустимые символы вызовут ошибки декодирования.
Когда использовать этот инструмент, а когда — код
Используйте этот генератор OTP для тестирования, отладки и проверки вашей реализации 2FA во время разработки. Для продакшн-систем генерируйте и проверяйте OTP-коды на сервере, используя проверенные библиотеки, такие как pyotp (Python), speakeasy (Node.js) или GoogleAuthenticator (разные языки). Никогда не раскрывайте секретные ключи в клиентском коде. Этот инструмент идеально подходит для процессов разработки, но ваше приложение должно выполнять проверку OTP на стороне сервера.