O que é TOTP?

TOTP (Senha Única Baseada em Tempo) é um algoritmo amplamente utilizado para gerar códigos de autenticação temporários que mudam a cada 30 ou 60 segundos. Definido em RFC 6238, TOTP é o padrão por trás de aplicativos autenticadores populares como Google Authenticator, Authy e Microsoft Authenticator.

Como funciona: TOTP combina uma chave secreta compartilhada com a hora atual através de uma função hash HMAC para produzir um código numérico curto (normalmente 6 ou 8 dígitos). Como o servidor e o cliente compartilham o mesmo segredo e usam a mesma referência de tempo, eles geram independentemente códigos correspondentes sem qualquer comunicação de rede.

Casos de Uso Comuns

Autenticação de Dois Fatores (2FA)

Adicione uma camada extra de segurança além de senhas para sistemas de login

Autenticação Multifator (MFA)

Combine com biometria ou chaves de hardware para segurança mais forte

Proteção de Conta de Serviço

Proteja chaves de API, painéis de administração e contas de serviço em nuvem

Desenvolvimento & Testes

Verifique implementações TOTP durante o desenvolvimento de aplicativos

Como TOTP Funciona

O algoritmo pega uma chave secreta codificada em Base32 e o timestamp Unix atual, divide o tempo pelo período (por exemplo, 30 segundos) para obter um valor de contador, depois aplica HMAC com o algoritmo hash escolhido (SHA-1, SHA-256 ou SHA-512). O resultado é truncado dinamicamente para produzir o código numérico final.

Fórmula TOTP

TOTP = Truncate(HMAC-SHA(secret, floor(time / period)))

Table of Contents

1. O que é TOTP?
- 1.1. Casos de Uso Comuns
- 1.2. Como TOTP Funciona
2. Como Usar o Gerador TOTP
3. Recursos
4. Perguntas Frequentes

Como Usar o Gerador TOTP

Gerar Códigos a partir de uma Chave Secreta

Digite a Chave Secreta

Digite sua chave secreta Base32 no campo de entrada (por exemplo, JBSWY3DPEHPK3PXP)

Gerar Código Automaticamente

O código TOTP será gerado automaticamente com um cronômetro regressivo

Ajuste as Configurações

Configure Algoritmo (SHA-1, SHA-256, SHA-512), Dígitos (6 ou 8) e Período (30s ou 60s) conforme necessário

Copiar Código

Clique no botão de cópia para copiar o código atual para sua área de transferência

Importar de uma URL otpauth://

Cole a URL

Cole uma URL otpauth://totp/... diretamente no campo de entrada

Análise Automática

A ferramenta analisará automaticamente o emissor, nome da conta, segredo e todas as configurações

Atualização de Configurações

Os controles de configurações serão atualizados para corresponder aos parâmetros da URL

Importar de uma Imagem de Código QR

Enviar QR

Clique no botão Enviar QR (ícone de upload) no cabeçalho

Selecione a Imagem

Selecione um arquivo de imagem contendo um código QR TOTP

Decodificação Automática

O código QR será decodificado e a URL otpauth:// será analisada automaticamente

Salvar e Gerenciar Contas

Após inserir um segredo, clique no botão Salvar para armazenar a conta
Você será solicitado a inserir um nome para a conta
Clique em qualquer conta salva para carregar seu segredo e configurações
Use o ícone de lápis ou clique duas vezes no nome da conta para renomeá-la
Use o botão X para deletar uma conta da lista salva

Exportar como Código QR

Carregue o Segredo

Digite ou carregue uma chave secreta

Mostrar QR

Clique no botão Mostrar QR (ícone QR)

Digitalizar & Transferir

Digitalize com qualquer aplicativo autenticador

Recursos

Múltiplos Algoritmos de Hash

Gere códigos TOTP com três algoritmos HMAC:

SHA-1 — Padrão, mais compatível
SHA-256 — Segurança aprimorada
SHA-512 — Segurança máxima

Configurações de Código Personalizáveis

Personalize os parâmetros de geração de código:

Códigos de 6 ou 8 dígitos
Períodos de 30 ou 60 segundos
Ajuste automático de URLs otpauth://

Cronômetro Regressivo em Tempo Real

Barra de progresso visual com indicadores de cor inteligentes:

Amarela em 33% restante
Vermelha nos últimos 5 segundos
Visualização do próximo código exibida

Suporte a Código QR

Integração completa de código QR:

Importe enviando imagens QR
Gere códigos QR a partir de segredos
Transfira para aplicativos autenticadores móveis

Gerenciamento de Múltiplas Contas

Salve e organize múltiplas contas:

Armazene contas ilimitadas localmente
Carregamento rápido de configurações salvas
Renomeie e delete contas facilmente

Análise de URL otpauth://

Extração automática de parâmetros de URL:

Analise segredo e informações do emissor
Extraia algoritmo e configurações
Formato padrão de autenticador

Seus Dados Permanecem Privados: Toda a geração TOTP acontece no seu navegador usando a Web Crypto API. Chaves secretas nunca são enviadas para qualquer servidor, não coletamos ou registramos seus dados de autenticação, e contas salvas são armazenadas apenas no localStorage do seu navegador.

Perguntas Frequentes

Qual é a diferença entre TOTP e HOTP?

TOTP (Baseado em Tempo) usa a hora atual para gerar códigos que mudam a cada 30 ou 60 segundos. HOTP (Baseado em HMAC) usa um contador que incrementa a cada uso.

TOTP é mais amplamente adotado porque os códigos expiram automaticamente, reduzindo o risco de ataques de repetição. Esta ferramenta suporta apenas TOTP.

Qual algoritmo devo usar?

SHA-1 é o algoritmo padrão e mais amplamente suportado — use-o a menos que o serviço que você está configurando exija especificamente SHA-256 ou SHA-512.

A maioria dos serviços autenticadores (Google, GitHub, AWS) usa SHA-1 com 6 dígitos e um período de 30 segundos.

Por que meu código não corresponde ao valor esperado?

Códigos TOTP dependem de tempo de sistema preciso. Se o relógio do seu dispositivo estiver atrasado em mais de alguns segundos, os códigos gerados podem não corresponder.

Verifique se a hora do seu sistema está sincronizada
Verifique se algoritmo, contagem de dígitos e configurações de período correspondem ao serviço
Certifique-se de que a chave secreta foi inserida corretamente

É seguro inserir minha chave secreta aqui?

Sim. Toda a computação acontece inteiramente no seu navegador usando a Web Crypto API. Sua chave secreta nunca é transmitida para qualquer servidor.

Contas salvas são armazenadas apenas no localStorage do seu navegador e são acessíveis apenas a partir deste dispositivo.

Posso usar isso em vez do Google Authenticator?

Esta ferramenta gera os mesmos códigos TOTP que Google Authenticator e outros aplicativos autenticadores. Você pode usá-la para desenvolvimento, testes ou como gerador de código de backup.

Recomendação: Para uso diário de 2FA, um aplicativo autenticador móvel dedicado é recomendado, pois está sempre acessível no seu telefone.

Em qual formato a chave secreta deve estar?

Chaves secretas devem estar em codificação Base32 (letras A-Z e dígitos 2-7).

Você também pode:

Colar uma URL otpauth://totp/... completa
Enviar uma imagem de código QR

Espaços e caracteres de preenchimento (=) em chaves Base32 são removidos automaticamente.

Minhas contas salvas são feitas backup?

Contas salvas são armazenadas no localStorage do seu navegador. Elas persistem entre sessões, mas não são feitas backup para qualquer serviço em nuvem.

Importante: Limpar seus dados do navegador removerá contas salvas. Considere exportar segredos importantes como códigos QR para backup.