Skip to main content
CheckTown
Dev-Tools

TOTP-Generator: 2FA-Codes aus Secrets erzeugen

Veröffentlicht 7 Min. Lesezeit
In diesem Artikel

Was ist TOTP?

TOTP (Time-based One-Time Password) ist ein weit verbreiteter Algorithmus für die Zwei-Faktor-Authentifizierung. Er erzeugt einen kurzen numerischen Code – typischerweise 6 Ziffern –, der sich alle 30 Sekunden ändert. Der Code wird aus einem gemeinsamen geheimen Schlüssel und der aktuellen Uhrzeit abgeleitet, was seine Wiederverwendung oder Vorhersage unmöglich macht.

TOTP ist in RFC 6238 definiert und wird von praktisch jeder Authenticator-App unterstützt, darunter Google Authenticator, Authy und Microsoft Authenticator. Das gemeinsame Geheimnis wird typischerweise als Base32-kodierte Zeichenkette oder als otpauth://-URI verteilt, der als QR-Code gescannt werden kann.

So funktioniert unser Generator

Der TOTP-Generator von CheckTown berechnet Einmalpasswörter aus einem Base32-Geheimnis vollständig in Ihrem Browser. Es werden nie Daten an einen Server gesendet – Ihre Geheimnisse bleiben privat.

  • Fügen Sie ein Base32-Geheimnis oder einen otpauth://-URI ein – das Tool parst ihn und extrahiert die Parameter automatisch
  • Sehen Sie den aktuellen 6-stelligen Code mit einem Echtzeit-Countdown, der anzeigt, wie viele Sekunden bis zum Ablauf verbleiben
  • Konfigurieren Sie Algorithmus (SHA-1, SHA-256, SHA-512), Zeitraum (30s oder 60s) und Ziffernanzahl (6 oder 8) für nicht standardmäßige Konfigurationen

Kostenlos testen – keine Registrierung erforderlich

TOTP-Code generieren →

Wann Sie einen TOTP-Generator nutzen sollten

Ein eigenständiger TOTP-Generator ist unverzichtbar für Entwickler, die 2FA-Implementierungen erstellen oder testen, sowie für sicherheitsbewusste Nutzer, die Kontrolle über ihren zweiten Faktor wünschen.

  • Entwicklungstests – prüfen Sie, ob Ihre TOTP-Implementierung dieselben Codes erzeugt wie gängige Authenticator-Apps
  • Backup-Wiederherstellung – wenn Sie das Base32-Geheimnis gespeichert haben, erzeugen Sie Codes, ohne Ihr Smartphone oder Ihre Authenticator-App zu benötigen
  • Sicherheitsprüfung – testen Sie TOTP-Endpunkte mit unterschiedlichen Algorithmen, Zeiträumen und Ziffernanzahlen, um die serverseitige Validierung zu überprüfen

Häufig gestellte Fragen

Ist es sicher, mein TOTP-Geheimnis in ein Web-Tool einzufügen?

Der TOTP-Generator von CheckTown läuft vollständig in Ihrem Browser und verwendet die Web Crypto API. Ihr Geheimnis verlässt nie Ihr Gerät – es gibt keine Netzwerkanfragen, keine serverseitige Verarbeitung und keine Protokollierung. Sie können dies überprüfen, indem Sie den Netzwerk-Tab in den Entwicklertools Ihres Browsers ansehen.

Was ist ein otpauth://-URI?

Ein otpauth://-URI ist ein standardisiertes Format zum Teilen von TOTP-Parametern. Er kodiert das Geheimnis, den Aussteller, den Kontonamen, den Algorithmus, den Zeitraum und die Ziffernanzahl in einer einzigen URL. Es ist dasselbe Format, das in den QR-Codes kodiert ist, die Sie beim Einrichten von 2FA scannen. Beispiel: otpauth://totp/Example:user@example.com?secret=JBSWY3DPEHPK3PXP&issuer=Example

Warum unterscheidet sich mein TOTP-Code von dem meiner Authenticator-App?

Die häufigste Ursache ist eine Zeitabweichung. TOTP-Codes hängen von der aktuellen Uhrzeit ab – wenn die Uhr Ihres Geräts auch nur um 30 Sekunden abweicht, stimmen die Codes nicht überein. Prüfen Sie, ob Ihre Systemzeit synchronisiert ist. Weitere Ursachen sind die Verwendung des falschen Algorithmus (SHA-1 vs. SHA-256) oder Zeitraums (30s vs. 60s).

Verwandte Tools