Qu'est-ce qu'un code TOTP?

Un code TOTP (Time-based One-Time Password) est un nombre de 6 ou 8 chiffres qui change toutes les 30 ou 60 secondes. Il est généré à partir d'une clé secrète partagée et de l'heure actuelle en utilisant HMAC-SHA1 (ou SHA-256/512), comme défini dans la RFC 6238.

Quel alphabet Base32 TOTP utilise-t-il?

Les secrets TOTP utilisent l'alphabet Base32 RFC 4648 : les lettres majuscules A–Z suivies des chiffres 2–7. Les caractères de remplissage (=) sont optionnels. La plupart des applications d'authentification affichent et acceptent les secrets dans ce format.

Puis-je utiliser SHA-256 ou SHA-512 avec Google Authenticator?

Google Authenticator ne supporte que SHA-1. Cependant, de nombreuses applications telles que Authy et andOTP supportent SHA-256 et SHA-512. Si vous avez besoin de compatibilité entre applications, restez avec SHA-1, 6 chiffres et une période de 30 secondes.

Quel est le format URI otpauth?

L'URI otpauth (par ex. otpauth://totp/Issuer:account?secret=XXX&issuer=YYY&algorithm=SHA1&digits=6&period=30) est un format standard utilisé pour provisionner les applications d'authentification. Scanner le code QR ajoute le compte automatiquement.

Est-il sûr de générer des codes TOTP dans le navigateur?

Cet outil est sûr pour les tests et le développement — tous les calculs s'exécutent localement en utilisant l'API Web Crypto et aucune donnée ne quitte votre navigateur. Cependant, pour les comptes de production réels, vous devriez toujours utiliser une application d'authentification dédiée et hors ligne.

Outil Gratuit

Générateur TOTP

Générez et testez des codes TOTP 2FA en ligne. Configurez l'algorithme, les chiffres et la période. Inclut une sortie de code QR compatible avec Google Authenticator et Authy.

Cet outil est destiné aux tests et au développement uniquement. N'utilisez jamais un outil web pour générer des codes TOTP pour des comptes réels — utilisez une application d'authentification dédiée.

Générateur TOTP

Clé secrète Base32

Algorithme

Chiffres

Période (secondes)

Nom du compte

Émetteur

Code TOTP actuel

--- ---

0s secondes restantes

Code QR

Enter a valid secret

URI otpauth

otpauth://totp/MyApp%3Atest%40example.com?secret=JBSWY3DPEHPK3PXP&issuer=MyApp&algorithm=SHA1&digits=6&period=30

Votre clé secrète reste dans votre navigateur — aucune donnée n'est envoyée à un serveur.

Qu'est-ce que TOTP?

TOTP (Time-based One-Time Password) est un algorithme 2FA largement utilisé défini dans la RFC 6238. Il génère un code numérique court à partir d'une clé secrète partagée et de l'heure actuelle, se rafraîchissant toutes les 30 ou 60 secondes. Des applications comme Google Authenticator, Authy et Microsoft Authenticator utilisent toutes TOTP.

Comment fonctionne l'algorithme

L'outil calcule floor(currentUnixTime / period) comme compteur 8 octets, puis exécute HMAC-SHA1 (ou SHA-256/512) avec la clé secrète décodée en Base32. La troncature dynamique extrait une fenêtre de 4 octets de la sortie HMAC, et le résultat est réduit à 6 ou 8 chiffres avec modulo 10^chiffres.

Comment utiliser

Collez votre clé secrète Base32, ou cliquez sur « Générer une clé secrète aléatoire » pour créer une clé secrète de test.
Ajustez éventuellement l'algorithme (SHA-1/256/512), le nombre de chiffres (6 ou 8) et la période (30s ou 60s).
Copiez le code TOTP généré ou scannez le code QR avec une application d'authentification.
Le code se rafraîchit automatiquement chaque seconde ; la barre de progression affiche le temps restant.

Votre clé secrète reste dans votre navigateur — aucune donnée n'est envoyée à un serveur.

Depuis le blog Skybin

Free developer tools from Skybin

Lire le guide sur Skybin

Questions Fréquemment Posées

Qu'est-ce qu'un code TOTP?: Un code TOTP (Time-based One-Time Password) est un nombre de 6 ou 8 chiffres qui change toutes les 30 ou 60 secondes. Il est généré à partir d'une clé secrète partagée et de l'heure actuelle en utilisant HMAC-SHA1 (ou SHA-256/512), comme défini dans la RFC 6238.
Quel alphabet Base32 TOTP utilise-t-il?: Les secrets TOTP utilisent l'alphabet Base32 RFC 4648 : les lettres majuscules A–Z suivies des chiffres 2–7. Les caractères de remplissage (=) sont optionnels. La plupart des applications d'authentification affichent et acceptent les secrets dans ce format.
Puis-je utiliser SHA-256 ou SHA-512 avec Google Authenticator?: Google Authenticator ne supporte que SHA-1. Cependant, de nombreuses applications telles que Authy et andOTP supportent SHA-256 et SHA-512. Si vous avez besoin de compatibilité entre applications, restez avec SHA-1, 6 chiffres et une période de 30 secondes.
Quel est le format URI otpauth?: L'URI otpauth (par ex. otpauth://totp/Issuer:account?secret=XXX&issuer=YYY&algorithm=SHA1&digits=6&period=30) est un format standard utilisé pour provisionner les applications d'authentification. Scanner le code QR ajoute le compte automatiquement.
Est-il sûr de générer des codes TOTP dans le navigateur?: Cet outil est sûr pour les tests et le développement — tous les calculs s'exécutent localement en utilisant l'API Web Crypto et aucune donnée ne quitte votre navigateur. Cependant, pour les comptes de production réels, vous devriez toujours utiliser une application d'authentification dédiée et hors ligne.

Outils Connexes

Hash Generator

Generate MD5, SHA-1, SHA-2, SHA-3, and Argon2 hashes — browser-side, no upload

Password Generator

Generate strong random passwords with entropy scoring

UUID Generator

Generate cryptographically random UUID v4 identifiers