TOTP Generator

Generator

Gere códigos TOTP / 2FA em tempo real a partir de qualquer segredo Base32 ou URI otpauth://. Veja a contagem regressiva, copie o código, compatível com Google Authenticator. Funciona inteiramente no navegador.

Chave Secreta
Código Atual
Insira um segredo Base32 acima para gerar um código TOTP ao vivo
O que é TOTP?

TOTP (Time-based One-Time Password) é o algoritmo por trás de cada aplicativo 2FA que você já usou. Definido no RFC 6238, ele combina uma chave secreta compartilhada com o timestamp Unix atual para produzir um código numérico curto que muda a cada 30 segundos. Tanto o dispositivo quanto o servidor calculam o mesmo código de forma independente — sem comunicação de rede necessária durante a verificação.

O segredo é codificado em Base32 (formato Google Authenticator). Quando você escaneia um QR code com seu aplicativo autenticador, esse QR code contém um URI otpauth:// que carrega o segredo, o nome do emissor e os parâmetros do algoritmo. Este gerador calcula o mesmo código TOTP que seu aplicativo autenticador mostraria — útil para testar fluxos 2FA no desenvolvimento, verificar se um segredo está correto ou recuperar um código quando o telefone não está disponível.

Como o TOTP funciona (RFC 6238)
  1. Calcule T = floor(tempo Unix atual / período) — um contador que muda a cada 30 segundos
  2. Codifique T como um inteiro big-endian de 8 bytes
  3. Calcule HMAC-SHA1 (ou SHA-256 / SHA-512) de T usando o segredo compartilhado como chave
  4. Truncamento dinâmico: use os últimos 4 bits da saída HMAC como offset, pegue 4 bytes a partir desse offset, mascare o bit mais significativo
  5. Código = (valor truncado mod 10^dígitos), preenchido com zeros à esquerda até o comprimento necessário
Compatibilidade
AplicativoAlgoritmoDígitosPeríodo
Google AuthenticatorSHA-1630s
AuthySHA-16 / 730s
Microsoft AuthenticatorSHA-1630s
1PasswordSHA-1630s
Steam GuardSHA-1530s

Sobre esta ferramenta

Sobre o Gerador de TOTP

TOTP (Time-based One-Time Password) é o algoritmo padrão (RFC 6238) por trás de todos os principais aplicativos de 2FA — Google Authenticator, Authy, Microsoft Authenticator, 1Password e centenas de outros. Ele combina um segredo compartilhado codificado em Base32 com o timestamp Unix atual para produzir um código numérico que muda a cada 30 segundos. Tanto o servidor quanto o cliente calculam o mesmo código de forma independente, sem nenhuma comunicação de rede durante a verificação.

Este gerador aceita um segredo Base32 bruto ou um URI otpauth:// completo (o formato embutido em QR codes). Ele computa em tempo real o código TOTP atual usando a Web Crypto API (HMAC-SHA1, SHA-256 ou SHA-512), exibe um anel de contagem regressiva para mostrar exatamente quando o código será renovado, e permite configurar dígitos (6 ou 8) e período (30s, 60s ou personalizado). O código atualiza automaticamente a cada segundo — sem necessidade de atualização manual.

O uso principal é testar fluxos de 2FA durante o desenvolvimento: cole o segredo da conta de teste, veja o código ao vivo e envie-o sem precisar pegar o telefone. Também é útil para verificar se um segredo Base32 extraído de um QR code está correto, recuperar um código quando o acesso ao aplicativo autenticador foi perdido mas a chave secreta ainda está disponível, e explorar interativamente como o algoritmo TOTP funciona.

Tudo funciona no seu navegador — a chave secreta nunca sai do seu dispositivo, nenhuma requisição de rede é feita durante a geração do código, e a página funciona completamente offline após o carregamento. A Web Crypto API fornece a implementação HMAC, garantindo saída de qualidade criptográfica idêntica ao que aplicativos autenticadores nativos produzem.

Recursos Principais

  • Código ao vivo que atualiza a cada segundo com contagem regressiva precisa
  • Aceita segredo Base32 ou URI otpauth:// completo
  • Analisa automaticamente algoritmo, dígitos e período do URI
  • Suporte a HMAC SHA-1, SHA-256 e SHA-512
  • Modos de código de 6 e 8 dígitos
  • Suporte a períodos de 30s, 60s e personalizados
  • Anel de contagem regressiva com mudança de cor conforme o código expira
  • Cópia com um clique
  • 100% baseado no navegador — o segredo nunca sai do seu dispositivo

FAQ

Gerador de TOTP — Perguntas Frequentes

É seguro inserir meu segredo 2FA real aqui?

O segredo é processado inteiramente no seu navegador usando a Web Crypto API. Nenhum dado é enviado a qualquer servidor — você pode verificar isso desconectando da internet antes de inserir o segredo e confirmando que os códigos ainda são gerados corretamente. Dito isso, para contas de produção importantes, considere usar esta ferramenta apenas com segredos de teste ou contas em que perder o acesso não seria catastrófico.

O que é um segredo TOTP e onde posso encontrá-lo?

O segredo TOTP é uma string codificada em Base32 (letras A–Z e dígitos 2–7) que foi compartilhada entre você e o serviço quando você configurou o 2FA pela primeira vez. Normalmente é exibido como um QR code — mas a maioria dos serviços também mostra como chave de texto simples, rotulada como 'segredo', 'chave de configuração' ou 'código de entrada manual'. Salve esta chave ao ativar o 2FA; é a única forma de recuperar seus códigos sem um método de backup.

Por que meu código é diferente do que meu aplicativo autenticador mostra?

A causa mais comum é desvio de relógio — os códigos TOTP são baseados em tempo, portanto, se o relógio do seu dispositivo estiver adiantado ou atrasado em mais de ~15 segundos, o código estará errado. Certifique-se de que o relógio do sistema está sincronizado com NTP. A segunda causa mais comum é algoritmo ou contagem de dígitos incorretos: a maioria dos sites usa SHA-1 com 6 dígitos e período de 30 segundos — tente esses padrões antes de alterar as opções.

O que é um URI otpauth://?

Um URI otpauth:// é o formato embutido em QR codes pelas páginas de configuração de 2FA. Tem o seguinte aspecto: otpauth://totp/Exemplo:alice@exemplo.com?secret=BASE32SECRET&issuer=Exemplo&algorithm=SHA1&digits=6&period=30. O URI codifica tudo o que o autenticador precisa: a chave secreta, o algoritmo, o comprimento do código e o período de atualização. Cole um URI completo neste gerador e todas as opções são configuradas automaticamente.

Qual é a diferença entre TOTP e HOTP?

TOTP (Time-based OTP, RFC 6238) deriva o contador do timestamp Unix atual dividido pelo período, então os códigos mudam automaticamente a cada 30 segundos. HOTP (HMAC-based OTP, RFC 4226) usa um contador explícito que incrementa a cada vez que um código é solicitado — o servidor e o cliente devem permanecer sincronizados, o que torna o HOTP mais difícil de usar corretamente. Quase todo aplicativo 2FA moderno usa TOTP.

Posso usar os códigos TOTP gerados aqui para fazer login de verdade?

Sim — os códigos que este gerador produz são matematicamente idênticos ao que o Google Authenticator ou Authy mostraria para o mesmo segredo. Se você inserir um segredo válido para um serviço que usa TOTP padrão RFC 6238, o código gerado funcionará durante sua janela de 30 segundos.

Dicas

  • A maioria dos serviços usa SHA-1, 6 dígitos, período de 30s — estes são os padrões; só altere se o URI especificar algo diferente
  • Cole um URI otpauth:// diretamente na aba URI e o gerador lerá o algoritmo, dígitos e período automaticamente
  • O anel de contagem regressiva fica amarelo com 40% restante e vermelho com 20% — copie o código antes de ficar vermelho para evitar que expire durante o login
  • Desconectar da internet antes de inserir seu segredo confirma que nada está sendo enviado a um servidor