TOTP-Secret- und 2FA-Code-Generator
Ein kostenloser TOTP-Generator (Time-based One-Time Password), der RFC-6238-konforme Secrets erzeugt und den QR-Code rendert, den Ihre Authenticator-App erwartet. Erzeugen Sie ein frisches zufälliges Base32-Secret, fügen Sie ein vorhandenes ein, um es zu verifizieren, und beobachten Sie den 6-stelligen Code, der in Ihrem Browser live aktualisiert wird. Kompatibel mit Google Authenticator, Authy, Aegis, Microsoft Authenticator, 1Password und jeder RFC-konformen App.
Anleitung
Auf „Zufällig" klicken für ein frisches 160-Bit-Base32-Secret oder ein vorhandenes einfügen, um Ihre Authenticator-Einrichtung zu verifizieren.
Diese erscheinen als Eintrags-Label in Ihrer Authenticator-App — z. B. „GitHub: [email protected]".
Öffnen Sie Google Authenticator, Authy oder Aegis, tippen Sie auf „Konto hinzufügen" und scannen Sie den QR. Der 6-stellige Code in der App sollte mit dieser Seite übereinstimmen.
Das Base32-Secret zur Sicherung in einen Passwortmanager kopieren. Bei Verlust des Handys können Sie denselben TOTP-Eintrag auf einem neuen Gerät wiederherstellen.
Erzeugen Sie ein 2FA-Secret, rendern Sie den QR für jede Authenticator-App und beobachten Sie, wie der 6-stellige Code alle 30 Sekunden aktualisiert wird
Erweitert
Funktionen
Häufige Fragen
Was ist TOTP?
Time-based One-Time Password — RFC 6238. Ein 6-stelliger Code, abgeleitet aus einem geteilten Secret und dem aktuellen 30-Sekunden-Zeitfenster, der als zweiter Faktor für Zwei-Faktor-Authentifizierung verwendet wird.
Warum zeigt mein Authenticator einen anderen Code?
Meistens: Uhren-Abweichung. Prüfen Sie, dass Handy und Computer sich auf die Zeit einigen. Der TOTP-Algorithmus ist rein zeitbasiert — bei mehr als 30 Sekunden Differenz stimmen die Codes nicht überein.
Wird mein Secret an einen Server gesendet?
Sowohl das Secret als auch der Live-6-stellige-Code werden in Ihrem Browser-Tab berechnet — kein Request pro Tick, kein Server-seitiger Zustand. Wir erfassen nur anonyme Performance-Telemetrie (Tool-Aufruf, Dauer, Fehler). Derselbe Standard-TOTP-Algorithmus (RFC 6238), den Google Authenticator, Authy, Aegis und 1Password auf Ihrem Handy ausführen.
Kann ich SHA-256 oder SHA-512 nutzen?
Sie können, aber die meisten Authenticator-Apps gehen von SHA-1 aus. Google Authenticator ignoriert z. B. den algorithm-Parameter in otpauth://-URIs und verwendet immer SHA-1. Bleiben Sie für maximale Kompatibilität bei SHA-1.
Wie sichere ich das Secret?
Kopieren Sie den Base32-String in einen Passwortmanager (Bitwarden, 1Password, KeePass) unter demselben Konto. Bei Verlust des Authenticators können Sie den Eintrag auf einem frischen Gerät durch Einfügen des Secrets hinzufügen.
Warum 6 Stellen und nicht 8?
6 ist die Konvention für Verbraucher-2FA — es balanciert Brute-Force-Resistenz mit Aufwand beim manuellen Eintippen. 8-stellige Codes findet man bei Banking- und Hochsicherheits-Tokens. Verwenden Sie, was Ihr Dienst verlangt.
Machen wir — und zwar kostenlos! Schreiben Sie uns kurz Ihre Idee. Wenn Sie sie im Detail besprechen möchten, hinterlassen Sie eine E-Mail-Adresse, wir melden uns. Anonym geht auch.
