TOTP 驗證器 — 線上一次性密碼產生（RFC 6238）

即時產生與複製基於時間的一次性密碼（TOTP），供測試、除錯與 QA。可設定演算法（SHA-1／SHA-256／SHA-512）、位數（6 或 8），並依 RFC 6238.

您的資料安全是我們的首要考量。所有 TOTP 產生與應用程式管理完全在瀏覽器內完成。
本工具不會儲存或將密鑰與驗證碼傳送到瀏覽器以外。

How the Tool Works

步驟 1.

輸入應用程式密鑰

貼上應用程式 2FA 設定畫面提供的共用 TOTP secret（base32）。

步驟 2.

自訂演算法與位數

選擇 SHA-1、SHA-256 或 SHA-512，以及 6 或 8 位數。預設常為 SHA-1 + 6 位；若整合需要可使用較強雜湊。

步驟 3.

產生一次性密碼

目前 OTP 會自動產生並依 RFC 6238 預設每 30 秒更新。最多可儲存 10 組應用程式密鑰供快速測試。

步驟 4.

複製並用於驗證

點擊驗證碼即可複製到剪貼簿，貼到應用程式登入流程。

注意：所有產生與儲存僅在瀏覽器記憶體中。因此清除快取或重裝瀏覽器後，本工具儲存的資料將永久消失。

疑難排解

驗證碼對不起來？

檢查伺服器與客戶端時間—TOTP 依賴準確時間；測試時可允許 ±1 個時間步的驗證窗口。

密鑰格式錯誤？

確認 secret 為 base32。若有 QR 碼可掃描，或從 otpauth URI 取出 secret= 參數。

「演算法不符」錯誤

確認伺服器與驗證器使用相同演算法、位數與時間步。

測試時不穩定

確認未在多環境重複使用同一密鑰（例如 staging 與 prod 共用會造成混淆）。

常見問題

什麼是 TOTP？

TOTP（基於時間的一次性密碼）依目前時間與共用密鑰產生短效單次碼，標準為 RFC 6238，廣泛用於網站與應用的雙因素驗證。

為何使用 TOTP？

以 2FA 強化安全

獲 Google、Microsoft、GitHub 等廣採用

權杖快速過期，降低重複使用風險

TOTP 多久有效？

預設 30 秒（RFC 6238 建議 30s）。伺服器驗證常允許一步寬容以因應時鐘誤差。

該用 SHA-1、SHA-256 還是 SHA-512？

SHA-1 相容性最佳；若雙端皆可控制且需更強雜湊可用 SHA-256／512。務必兩端一致。

該用 6 位還是 8 位？

6 位為常見標準（平衡易用與安全）。8 位熵稍高但消費型驗證器較少見。

如何從 otpauth:// URI 取出密鑰？

otpauth:// URL 中的 secret= 參數即 base32 密鑰。