Was ist ein TOTP-Code?

Ein TOTP-Code (Time-based One-Time Password) ist eine 6- oder 8-stellige Nummer, die sich alle 30 oder 60 Sekunden ändert. Er wird aus einem gemeinsamen Secret und der aktuellen Zeit mit HMAC-SHA1 (oder SHA-256/512) generiert, wie in RFC 6238 definiert.

Welches Base32-Alphabet verwendet TOTP?

TOTP-Secrets verwenden das RFC 4648 Base32-Alphabet: die Großbuchstaben A–Z gefolgt von den Ziffern 2–7. Padding-Zeichen (=) sind optional. Die meisten Authentifizierungs-Apps zeigen Secrets in diesem Format an und akzeptieren sie.

Kann ich SHA-256 oder SHA-512 mit Google Authenticator verwenden?

Google Authenticator unterstützt nur SHA-1. Viele Apps wie Authy und andOTP unterstützen jedoch SHA-256 und SHA-512. Wenn Sie App-übergreifende Kompatibilität benötigen, verwenden Sie SHA-1, 6 Ziffern und eine 30-Sekunden-Periode.

Was ist das otpauth URI-Format?

Das otpauth URI (z.B. otpauth://totp/Aussteller:account?secret=XXX&issuer=YYY&algorithm=SHA1&digits=6&period=30) ist ein Standardformat für die Bereitstellung von Authentifizierungs-Apps. Das Scannen des QR-Codes fügt das Konto automatisch hinzu.

Ist es sicher, TOTP-Codes im Browser zu generieren?

Dieses Tool ist sicher für Tests und Entwicklung — alle Berechnungen laufen lokal mit der Web Crypto API und keine Daten verlassen Ihren Browser. Für echte Produktionskonten sollten Sie jedoch immer eine dedizierte, Offline-Authentifizierungs-App verwenden.

Kostenloses Tool

TOTP Generator

Generieren und testen Sie TOTP 2FA-Codes online. Konfigurieren Sie Algorithmus, Ziffern und Periode. Enthält QR-Code-Ausgabe, kompatibel mit Google Authenticator und Authy.

Dieses Tool ist nur für Tests und Entwicklung gedacht. Verwenden Sie nie ein webbasiertes Tool zur Generierung von TOTP-Codes für echte Konten — nutzen Sie eine dedizierte Authentifizierungs-App.

TOTP Generator

Base32 Secret Key

Algorithmus

Ziffern

Periode (Sekunden)

Kontoname

Aussteller

Aktueller TOTP-Code

--- ---

0s Sekunden verbleibend

QR-Code

Enter a valid secret

otpauth URI

otpauth://totp/MyApp%3Atest%40example.com?secret=JBSWY3DPEHPK3PXP&issuer=MyApp&algorithm=SHA1&digits=6&period=30

Ihr Secret bleibt in Ihrem Browser — keine Daten werden an einen Server gesendet.

Was ist TOTP?

TOTP (Time-based One-Time Password) ist ein weit verbreiteter 2FA-Algorithmus, definiert in RFC 6238. Er generiert einen kurzen numerischen Code aus einem gemeinsamen Secret und der aktuellen Zeit, der sich alle 30 oder 60 Sekunden aktualisiert. Apps wie Google Authenticator, Authy und Microsoft Authenticator verwenden alle TOTP.

Wie der Algorithmus funktioniert

Das Tool berechnet floor(currentUnixTime / period) als 8-Byte-Counter, dann führt HMAC-SHA1 (oder SHA-256/512) darauf aus und verwendet den Base32-dekodierten Secret. Die dynamische Kürzung extrahiert ein 4-Byte-Fenster aus der HMAC-Ausgabe, und das Ergebnis wird mit modulo 10^digits auf 6 oder 8 Ziffern reduziert.

Verwendungsanleitung

Fügen Sie Ihren Base32 Secret Key ein, oder klicken Sie auf 'Zufälliger Secret generieren', um einen Test-Secret zu erstellen.
Passen Sie optional den Algorithmus (SHA-1/256/512), die Anzahl der Ziffern (6 oder 8) und die Periode (30s oder 60s) an.
Kopieren Sie den generierten TOTP-Code oder scannen Sie den QR-Code mit einer Authentifizierungs-App.
Der Code wird jede Sekunde automatisch aktualisiert; die Fortschrittsleiste zeigt die verbleibende Zeit an.

Ihr Secret bleibt in Ihrem Browser — keine Daten werden an einen Server gesendet.

Aus dem Skybin-Blog

Free developer tools from Skybin

Anleitung auf Skybin lesen

Häufig gestellte Fragen

Was ist ein TOTP-Code?: Ein TOTP-Code (Time-based One-Time Password) ist eine 6- oder 8-stellige Nummer, die sich alle 30 oder 60 Sekunden ändert. Er wird aus einem gemeinsamen Secret und der aktuellen Zeit mit HMAC-SHA1 (oder SHA-256/512) generiert, wie in RFC 6238 definiert.
Welches Base32-Alphabet verwendet TOTP?: TOTP-Secrets verwenden das RFC 4648 Base32-Alphabet: die Großbuchstaben A–Z gefolgt von den Ziffern 2–7. Padding-Zeichen (=) sind optional. Die meisten Authentifizierungs-Apps zeigen Secrets in diesem Format an und akzeptieren sie.
Kann ich SHA-256 oder SHA-512 mit Google Authenticator verwenden?: Google Authenticator unterstützt nur SHA-1. Viele Apps wie Authy und andOTP unterstützen jedoch SHA-256 und SHA-512. Wenn Sie App-übergreifende Kompatibilität benötigen, verwenden Sie SHA-1, 6 Ziffern und eine 30-Sekunden-Periode.
Was ist das otpauth URI-Format?: Das otpauth URI (z.B. otpauth://totp/Aussteller:account?secret=XXX&issuer=YYY&algorithm=SHA1&digits=6&period=30) ist ein Standardformat für die Bereitstellung von Authentifizierungs-Apps. Das Scannen des QR-Codes fügt das Konto automatisch hinzu.
Ist es sicher, TOTP-Codes im Browser zu generieren?: Dieses Tool ist sicher für Tests und Entwicklung — alle Berechnungen laufen lokal mit der Web Crypto API und keine Daten verlassen Ihren Browser. Für echte Produktionskonten sollten Sie jedoch immer eine dedizierte, Offline-Authentifizierungs-App verwenden.

Verwandte Tools

Hash Generator

Generate MD5, SHA-1, SHA-2, SHA-3, and Argon2 hashes — browser-side, no upload

Password Generator

Generate strong random passwords with entropy scoring

UUID Generator

Generate cryptographically random UUID v4 identifiers