Gerador de Códigos TOTP
Desenvolvimento
TOTP (Time-based One-Time Password, RFC 6238) é o algoritmo por trás do Google Authenticator, Authy, códigos 2FA do 1Password e da maioria dos sistemas corporativos de autenticação multifator. Cole o segredo Base32 que o serviço forneceu ao configurar 2FA — a mesma string codificada no QR code — e esta ferramenta exibe o código atual de seis dígitos, um anel ao vivo com a contagem regressiva até a próxima rotação e o próximo código, para você planejar a troca. Dígitos (6/7/8), período (15/30/60/120 segundos) e hash HMAC (SHA-1, SHA-256, SHA-512) são configuráveis conforme o que o seu serviço utilize; os padrões seguem a especificação do Google Authenticator. Tudo é calculado no seu navegador via Web Crypto API; nenhum segredo trafega pela rede. Esta ferramenta serve para testar seu próprio 2FA, recuperar códigos de segredos que você controla ou construir/depurar fluxos de autenticador — não para burlar autenticação em contas que não sejam suas.
Como usar
- Cole seu segredo TOTP Base32 (a string longa de letras e dígitos da configuração) no campo de segredo. Espaços e hifens são tolerados.
- Ajuste dígitos, período e algoritmo para combinar com o que o serviço usa. Os padrões do Google Authenticator são 6 dígitos / 30 s / SHA-1.
- Leia o código atual; clique nele para copiar. Fique de olho no anel de contagem — quando estiver perto de zero, olhe o painel 'Próximo' para decidir qual usar.
- Se o código for rejeitado, confira se o relógio do dispositivo está sincronizado — TOTP depende do tempo Unix estar correto ao segundo.
Perguntas frequentes
- É seguro? Meu segredo vai para algum lugar?
- Nada sai do seu navegador. A decodificação Base32 e o cálculo HMAC-SHA rodam via Web Crypto API no seu dispositivo. Você pode inspecionar a aba de rede para confirmar. Ainda assim, trate qualquer segredo TOTP como uma senha — cole apenas em ferramentas confiáveis e nunca compartilhe capturas que exponham a string.
- Qual configuração escolher?
- Os padrões (6 dígitos, 30 segundos, SHA-1) batem com a especificação do Google Authenticator e funcionam com a maioria dos serviços. Alguns bancos e sistemas corporativos usam 8 dígitos, 60 segundos ou SHA-256/512 — geralmente mencionam isso na configuração ou aparece no URI otpauth://. Parâmetros incorretos geram códigos errados em silêncio.
- Meu código é rejeitado — o que está errado?
- Na maioria das vezes é dessincronização do relógio. O TOTP usa o tempo Unix do dispositivo; se seu notebook estiver mais de ~30 s atrasado/adiantado, todo código falha. Sincronize o relógio (a maioria dos sistemas faz isso automaticamente; confira o NTP). Outras causas: dígitos / período / algoritmo errados, caracteres a mais ou a menos no segredo, ou um segredo de outra conta.
- Qual a diferença entre TOTP e HOTP?
- HOTP (RFC 4226) incrementa um contador toda vez que você pede um novo código; cliente e servidor precisam manter o contador sincronizado. TOTP (RFC 6238) substitui o contador pelo tempo Unix atual dividido pelo período, então o código gira sozinho. O 2FA moderno usa quase sempre TOTP.
- Dá para importar um QR code ou URI otpauth://?
- Nesta ferramenta não — cole o segredo Base32 diretamente. Se você tem um URI otpauth://, o segredo é o valor depois de 'secret=' na query string. Se só tem o QR como imagem, escaneie com outro decodificador antes e cole o segredo aqui.
Ferramentas relacionadas
Decodificador JWT
Decodifique um JSON Web Token para inspecionar cabeçalho, claims e expiração.
Gerador de UUID
Gere UUIDs v4 aleatórios em lote, com cópia.
Gerador de Hash (SHA)
Gere hashes SHA-1, SHA-256, SHA-384 e SHA-512 a partir de texto.
Codificador / Decodificador de URL
Codifique texto para URLs em porcentagem, ou decodifique URLs em texto.
Codificador / Decodificador Base64
Codifique texto em Base64 ou decodifique Base64 de volta em texto.
Formatador e Validador de JSON
Formate, embeleze, minifique e valide JSON no seu navegador.