Generador de Códigos TOTP
Desarrollo
TOTP (Time-based One-Time Password, RFC 6238) es el algoritmo detrás de Google Authenticator, Authy, los códigos 2FA de 1Password y la mayoría de sistemas empresariales de autenticación multifactor. Pega el secreto Base32 que te dio el servicio al configurar 2FA — la misma cadena codificada en el código QR — y esta herramienta muestra el código actual de seis dígitos, un anillo en vivo con la cuenta atrás hasta la siguiente rotación y el código siguiente, para que puedas planificar el cambio. Los dígitos (6/7/8), el periodo (15/30/60/120 segundos) y el hash HMAC (SHA-1, SHA-256, SHA-512) son configurables para coincidir con la variante que use tu servicio; los valores por defecto siguen la especificación de Google Authenticator. Todo se calcula en tu navegador con la Web Crypto API; ningún secreto sale por la red. Esta herramienta está pensada para probar tu propia configuración 2FA, recuperar códigos de secretos que controlas o construir/depurar flujos de autenticador — no para saltar la autenticación en cuentas que no son tuyas.
Cómo usar
- Pega tu secreto TOTP Base32 (la cadena larga de letras y dígitos del proceso de configuración) en el campo del secreto. Se toleran espacios y guiones.
- Ajusta dígitos, periodo y algoritmo a lo que usa tu servicio. Los valores por defecto de Google Authenticator son 6 dígitos / 30 s / SHA-1.
- Lee el código actual; pulsa para copiarlo. Vigila el anillo de cuenta atrás — cuando esté cerca de cero, mira el panel 'Siguiente' para decidir cuál usar.
- Si el código es rechazado, comprueba que el reloj del dispositivo esté sincronizado — TOTP depende de que la hora Unix sea correcta al segundo.
Preguntas frecuentes
- ¿Es seguro? ¿Se envía mi secreto a algún lado?
- Nada sale de tu navegador. La decodificación Base32 y el cálculo HMAC-SHA se hacen con la Web Crypto API en tu dispositivo. Puedes comprobarlo en la pestaña de red. Aun así, trata cualquier secreto TOTP como una contraseña — pégalo solo en herramientas de confianza y no compartas capturas que muestren la cadena.
- ¿Qué configuración elijo?
- Los valores por defecto (6 dígitos, 30 segundos, SHA-1) coinciden con la especificación de Google Authenticator y funcionan con la mayoría de servicios. Algunos bancos y sistemas empresariales usan 8 dígitos, 60 segundos o SHA-256/512 — suelen indicarlo en el proceso de alta o aparece en el URI otpauth://. Parámetros mal puestos producen códigos incorrectos en silencio.
- Mi código es rechazado — ¿qué pasa?
- Lo más común es el desajuste del reloj. TOTP usa la hora Unix del dispositivo, así que si tu portátil va más de ~30 s desfasado, todo código fallará. Sincroniza el reloj (la mayoría de SO lo hacen automáticamente; comprueba NTP). Otras causas: dígitos / periodo / algoritmo equivocados, caracteres de más o de menos en el secreto, o un secreto de otra cuenta.
- ¿En qué se diferencian TOTP y HOTP?
- HOTP (RFC 4226) incrementa un contador cada vez que pulsas 'siguiente código'; cliente y servidor deben mantener ese contador sincronizado. TOTP (RFC 6238) sustituye el contador por la hora Unix actual dividida entre el periodo, así el código rota solo. La 2FA moderna usa casi siempre TOTP.
- ¿Puedo importar un código QR o un URI otpauth://?
- En esta herramienta no — pega el secreto Base32 directamente. Si tienes un URI otpauth://, el secreto es el valor tras 'secret=' en la cadena de consulta. Si solo tienes la imagen QR, escanéala antes con otro decodificador y luego pega el secreto aquí.
Herramientas relacionadas
Decodificador JWT
Decodifica un JSON Web Token para ver su cabecera, claims y expiración.
Generador de UUID
Genera UUID v4 aleatorios en lote, con copia.
Generador de Hash (SHA)
Genera hashes SHA-1, SHA-256, SHA-384 y SHA-512 a partir de texto.
Codificador / Decodificador de URL
Codifica texto para URLs en porcentaje, o decodifica URLs a texto.
Codificador / Decodificador Base64
Codifica texto a Base64 o decodifica Base64 a texto al instante.
Formateador y Validador de JSON
Formatea, embellece, minifica y valida JSON en tu navegador.