O que é um código TOTP?

Um código TOTP (Time-based One-Time Password) é um número de 6 ou 8 dígitos que muda a cada 30 ou 60 segundos. É gerado a partir de um segredo compartilhado e da hora atual usando HMAC-SHA1 (ou SHA-256/512), conforme definido em RFC 6238.

Qual alfabeto Base32 o TOTP usa?

Os segredos TOTP usam o alfabeto Base32 de RFC 4648: as letras maiúsculas A–Z seguidas pelos dígitos 2–7. Os caracteres de preenchimento (=) são opcionais. A maioria dos aplicativos autenticadores exibe e aceita segredos neste formato.

Posso usar SHA-256 ou SHA-512 com Google Authenticator?

Google Authenticator suporta apenas SHA-1. No entanto, muitos aplicativos como Authy e andOTP suportam SHA-256 e SHA-512. Se você precisa de compatibilidade entre aplicativos, mantenha SHA-1, 6 dígitos e período de 30 segundos.

O que é o formato URI otpauth?

O URI otpauth (ex. otpauth://totp/Issuer:account?secret=XXX&issuer=YYY&algorithm=SHA1&digits=6&period=30) é um formato padrão usado para provisionar aplicativos autenticadores. Escanear o código QR adiciona a conta automaticamente.

É seguro gerar códigos TOTP no navegador?

Esta ferramenta é segura para testes e desenvolvimento — toda a computação é executada localmente usando a Web Crypto API e nenhum dado sai do seu navegador. No entanto, para contas reais de produção, você sempre deve usar um aplicativo autenticador dedicado e offline.

Ferramenta Gratuita

Gerador TOTP

Gere e teste códigos TOTP 2FA online. Configure algoritmo, dígitos e período. Inclui saída de código QR compatível com Google Authenticator e Authy.

Esta ferramenta é apenas para testes e desenvolvimento. Nunca use uma ferramenta baseada em web para gerar códigos TOTP para contas reais — use um aplicativo autenticador dedicado.

Gerador TOTP

Chave Secreta Base32

Algoritmo

Dígitos

Período (segundos)

Nome da Conta

Emissor

Código TOTP Atual

--- ---

0s segundos restantes

Código QR

Enter a valid secret

URI otpauth

otpauth://totp/MyApp%3Atest%40example.com?secret=JBSWY3DPEHPK3PXP&issuer=MyApp&algorithm=SHA1&digits=6&period=30

Seu segredo permanece em seu navegador — nenhum dado é enviado para qualquer servidor.

O que é TOTP?

TOTP (Time-based One-Time Password) é um algoritmo 2FA amplamente utilizado definido em RFC 6238. Ele gera um código numérico curto a partir de um segredo compartilhado e da hora atual, atualizando a cada 30 ou 60 segundos. Aplicativos como Google Authenticator, Authy e Microsoft Authenticator todos usam TOTP.

Como funciona o algoritmo

A ferramenta calcula floor(currentUnixTime / period) como um contador de 8 bytes, depois executa HMAC-SHA1 (ou SHA-256/512) sobre ele usando o segredo decodificado em Base32. O truncamento dinâmico extrai uma janela de 4 bytes da saída HMAC, e o resultado é reduzido a 6 ou 8 dígitos com módulo 10^digits.

Como usar

Cole sua chave secreta Base32, ou clique em 'Gerar Chave Secreta Aleatória' para criar uma chave de teste.
Opcionalmente, ajuste o algoritmo (SHA-1/256/512), número de dígitos (6 ou 8) e período (30s ou 60s).
Copie o código TOTP gerado ou escaneie o código QR com um aplicativo autenticador.
O código se atualiza automaticamente a cada segundo; a barra de progresso mostra o tempo restante.

Seu segredo permanece em seu navegador — nenhum dado é enviado para qualquer servidor.

Do blog Skybin

Free developer tools from Skybin

Leia o guia na Skybin

Perguntas Frequentes

O que é um código TOTP?: Um código TOTP (Time-based One-Time Password) é um número de 6 ou 8 dígitos que muda a cada 30 ou 60 segundos. É gerado a partir de um segredo compartilhado e da hora atual usando HMAC-SHA1 (ou SHA-256/512), conforme definido em RFC 6238.
Qual alfabeto Base32 o TOTP usa?: Os segredos TOTP usam o alfabeto Base32 de RFC 4648: as letras maiúsculas A–Z seguidas pelos dígitos 2–7. Os caracteres de preenchimento (=) são opcionais. A maioria dos aplicativos autenticadores exibe e aceita segredos neste formato.
Posso usar SHA-256 ou SHA-512 com Google Authenticator?: Google Authenticator suporta apenas SHA-1. No entanto, muitos aplicativos como Authy e andOTP suportam SHA-256 e SHA-512. Se você precisa de compatibilidade entre aplicativos, mantenha SHA-1, 6 dígitos e período de 30 segundos.
O que é o formato URI otpauth?: O URI otpauth (ex. otpauth://totp/Issuer:account?secret=XXX&issuer=YYY&algorithm=SHA1&digits=6&period=30) é um formato padrão usado para provisionar aplicativos autenticadores. Escanear o código QR adiciona a conta automaticamente.
É seguro gerar códigos TOTP no navegador?: Esta ferramenta é segura para testes e desenvolvimento — toda a computação é executada localmente usando a Web Crypto API e nenhum dado sai do seu navegador. No entanto, para contas reais de produção, você sempre deve usar um aplicativo autenticador dedicado e offline.

Ferramentas Relacionadas

Hash Generator

Generate MD5, SHA-1, SHA-2, SHA-3, and Argon2 hashes — browser-side, no upload

Password Generator

Generate strong random passwords with entropy scoring

UUID Generator

Generate cryptographically random UUID v4 identifiers