Generador TOTP para códigos 2FA
Este generador TOTP convierte una clave secreta Base32 en las mismas contraseñas de un solo uso basadas en el tiempo que produce tu app de autenticación, creando un código 2FA nuevo cada 30 o 60 segundos. Está pensado para desarrolladores, testers y cualquiera que necesite un código TOTP funcional a partir de una clave sin tener que tomar el teléfono.
TOTP (Time-based One-Time Password, definido en el RFC 6238) es el estándar detrás de Google Authenticator, Authy y Microsoft Authenticator. Pega una clave secreta o una URL otpauth://, sube la imagen QR de un autenticador y guarda varias cuentas para generar códigos con un solo clic.
Cómo generar un código TOTP
Ingresa la clave secreta
Escribe o pega una clave secreta Base32 (por ejemplo JBSWY3DPEHPK3PXP) en el campo Clave secreta. El código se genera automáticamente: los espacios, guiones y el relleno = se eliminan por ti.
O importa una URL o un QR
Pega una URL completa otpauth://totp/... para autocompletar cada ajuste, o toca Subir código QR para decodificar la imagen QR de un autenticador. El emisor, la cuenta, el algoritmo, los dígitos y el período se analizan automáticamente.
Ajusta la configuración
Define el Algoritmo (SHA-1, SHA-256 o SHA-512), los Dígitos (6 u 8) y el Período (30 o 60 segundos) para que coincidan con el servicio que estás vinculando.
Copia y guarda
Usa Copiar código para enviar el código actual al portapapeles antes de que se agote el temporizador. Toca Guardar para almacenar la cuenta localmente y cargar sus códigos con un solo clic la próxima vez.
Características
Tres algoritmos de hash
Genera códigos con SHA-1 (el predeterminado y más compatible), SHA-256 o SHA-512 para que coincidan con cualquier servicio.
Dígitos y período configurables
Alterna entre códigos de 6 u 8 dígitos y un período de 30 o 60 segundos para ajustarte a la configuración del servicio.
Temporizador en vivo
Una barra de progreso muestra el tiempo restante; se pone amarilla al 33 % restante y roja en los últimos 5 segundos.
Vista previa del próximo código
El próximo código siempre se muestra debajo del actual, así un código a punto de expirar nunca te deja a medias.
Análisis de URL otpauth://
Pega una URL otpauth:// estándar para extraer la clave, el emisor, la cuenta, el algoritmo, los dígitos y el período de una sola vez.
Importación y exportación de QR
Decodifica una imagen QR de TOTP para cargar una clave, o genera un código QR escaneable para llevarla a un autenticador móvil.
Gestión de varias cuentas
Guarda varias cuentas en tu navegador y toca cualquiera para cargar su clave al instante y generar códigos.
Renombrado en línea
Renombra una cuenta guardada con el ícono de lápiz o haciendo doble clic en su nombre, sin una pantalla de edición aparte.
Mostrar u ocultar la clave
Oculta o revela la clave secreta con un clic, y copia el código en vivo al portapapeles cuando lo necesites.
Solo del lado del cliente
Toda la generación ocurre localmente con la Web Crypto API. Las claves nunca se suben y las cuentas guardadas permanecen en este dispositivo.
Preguntas frecuentes
¿Qué es TOTP?
TOTP significa Time-based One-Time Password (contraseña de un solo uso basada en el tiempo). Combina una clave secreta compartida con la hora actual mediante un hash HMAC para producir un código corto que cambia cada 30 o 60 segundos. Como el servidor y tu dispositivo comparten la misma clave y el mismo reloj, generan códigos coincidentes de forma independiente, sin ninguna llamada de red. Está definido en el RFC 6238.
¿Cómo genero un código TOTP a partir de una clave secreta?
Pega tu clave secreta Base32 en el campo Clave secreta y el código aparece de inmediato. Si tu configuración difiere de los valores predeterminados, ajusta el algoritmo, la cantidad de dígitos y el período para que coincidan con el servicio. También puedes pegar una URL otpauth:// o subir una imagen QR para completar todo automáticamente.
¿Qué es una clave secreta TOTP y en qué formato debe estar?
La clave secreta es el valor compartido que te entrega un servicio cuando activas el 2FA. Debe estar codificada en Base32: letras de la A a la Z y dígitos del 2 al 7. Esta herramienta elimina automáticamente los espacios y el relleno =. Si solo tienes un código QR o un enlace otpauth://, impórtalo en su lugar y la clave se extrae por ti.
¿Cuánto tiempo es válido un código TOTP?
De forma predeterminada cada código es válido durante 30 segundos, y algunos servicios usan un período de 60 segundos. El temporizador de cuenta regresiva muestra exactamente cuánto tiempo queda: se pone amarillo al 33 % restante y rojo en los últimos 5 segundos. El próximo código se muestra abajo, así que puedes esperar en lugar de correr contra el reloj.
¿Qué algoritmo debo elegir?
SHA-1 es la opción predeterminada y la más compatible: la mayoría de los servicios (Google, GitHub, AWS) usan SHA-1 con 6 dígitos y un período de 30 segundos. Cambia a SHA-256 o SHA-512 solo si el servicio que estás vinculando lo exige específicamente. Al importar una URL otpauth:// se configura el algoritmo correcto por ti.
¿Por qué mi código no coincide con lo que espera el servicio?
TOTP depende de una hora precisa, así que si el reloj de tu dispositivo está desfasado más de unos segundos los códigos no coincidirán: asegúrate de que la hora del sistema esté sincronizada. Confirma también que el algoritmo, la cantidad de dígitos y el período coincidan con los que usa el servicio. Una discrepancia en cualquiera de ellos produce un código que parece válido pero es incorrecto.
¿Es seguro usar un generador TOTP en línea?
Aquí todo el cálculo ocurre por completo en tu navegador con la Web Crypto API: tu clave secreta nunca se transmite a ningún servidor y las cuentas guardadas se almacenan únicamente en el almacenamiento local de este navegador. Dicho esto, trata cualquier clave como una contraseña: para el 2FA del día a día se sigue recomendando un autenticador móvil dedicado, ya que esta herramienta es ideal para desarrollo, pruebas o como generador de códigos de respaldo.
¿Cuál es la diferencia entre TOTP y HOTP?
TOTP se basa en el tiempo y genera códigos que cambian cada 30 o 60 segundos. HOTP se basa en un contador, con un valor que se incrementa con cada uso. TOTP es más común porque sus códigos expiran automáticamente, lo que reduce el riesgo de ataques de repetición. Esta herramienta admite únicamente TOTP.
¿Se respaldan mis cuentas guardadas?
Las cuentas guardadas viven en el almacenamiento local de tu navegador. Persisten entre sesiones, pero no se sincronizan con ninguna nube, así que borrar los datos de tu navegador las elimina. Usa Mostrar código QR para exportar una clave importante como una imagen QR escaneable que puedas conservar como respaldo.
Aún no hay comentarios. ¡Sé el primero en comentar!