DevToys Web Pro iconDevToys Web ProБлог
Оцініть нас:
Спробуйте розширення для браузера:

Генератор OTP (TOTP/HOTP)

Налаштування

  • Режим

    Виберіть між часовим (TOTP) або лічильниковим (HOTP)

  • Алгоритм

    Хеш-алгоритм для генерації OTP

  • Цифри

    Кількість цифр у коді OTP

  • Період

    Часовий інтервал дійсності коду TOTP

Секретний ключ

    • Згенерований код

    • ------

    Налаштування QR-коду

    Перевірити код

    Перевірте, чи є код дійсним для поточного секрету

    URI автентифікації OTP

    • Використайте цей URI або відскануйте QR-код, щоб додати цей обліковий запис до застосунку автентифікації

    Технічні деталі

    Як працює генератор OTP

    Що робить інструмент

    Цей генератор OTP створює одноразові паролі на основі часу (TOTP) та одноразові паролі на основі HMAC (HOTP), сумісні з Google Authenticator, Authy та іншими застосунками 2FA. Введіть або згенеруйте секретний ключ Base32, і інструмент створить 6–8-значні коди, які змінюються кожні 30 або 60 секунд для TOTP або збільшуються разом із лічильником для HOTP. Усі обчислення виконуються локально у вашому браузері за допомогою Web Crypto API, тож ваш секрет ніколи не залишає ваш пристрій.

    Поширені сценарії використання для розробників

    Розробники використовують онлайн-генератор TOTP, щоб тестувати реалізації двофакторної автентифікації, перевіряти, що їхні OTP-бібліотеки генерують правильні коди, і налагоджувати потоки автентифікації. Під час створення системи 2FA ви можете використати цей інструмент, щоб згенерувати тестові секрети, перевірити серверну реалізацію TOTP і переконатися, що синхронізація часу правильна. Він також допомагає командам QA перевіряти 2FA-воркфлоу без встановлення застосунків-автентифікаторів на свої пристрої.

    Формати даних і стандарти

    Інструмент OTP реалізує стандарти RFC 6238 (TOTP) і RFC 4226 (HOTP). Секретні ключі використовують кодування Base32 — це стандартний формат для застосунків-автентифікаторів. Інструмент підтримує хеш-алгоритми SHA-1 (за замовчуванням, найсумісніший), SHA-256 і SHA-512. Вихідні коди можуть мати 6, 7 або 8 цифр, найпоширеніший варіант — 6. Формат OTP Auth URI (otpauth://totp/...) сумісний із Google Authenticator та подібними застосунками.

    Поширені помилки та крайові випадки

    Коди TOTP надзвичайно чутливі до часу. Якщо годинники сервера та клієнта розсинхронізовані більш ніж на 30 секунд, автентифікація не пройде. Більшість реалізацій дозволяють вікно в 1–2 часові кроки, щоб компенсувати невеликий дрейф. SHA-1 — найширше підтримуваний алгоритм; деякі старі застосунки-автентифікатори можуть не підтримувати SHA-256 або SHA-512. Переконайтеся, що ваш секретний ключ коректно закодований у Base32 — недійсні символи спричинять помилки декодування.

    Коли використовувати цей інструмент, а коли — код

    Використовуйте цей генератор OTP для тестування, налагодження та перевірки вашої реалізації 2FA під час розробки. Для продакшн-систем генеруйте та перевіряйте OTP-коди на сервері, використовуючи перевірені бібліотеки на кшталт pyotp (Python), speakeasy (Node.js) або GoogleAuthenticator (різні мови). Ніколи не розкривайте секретні ключі в клієнтському коді. Цей інструмент ідеально підходить для процесів розробки, але ваш застосунок має виконувати перевірку OTP на стороні сервера.