Générateur TOTP / 2FA
Générez et vérifiez des codes TOTP (Time-based One-Time Password) pour l'authentification à deux facteurs. Fonctionne entièrement dans votre navigateur.
Comment fonctionne TOTP ?
- TOTP TOTP (Time-based One-Time Password) génère un code à 6 chiffres qui change toutes les 30 secondes.
- L'algorithme divise le temps Unix actuel par 30 pour obtenir un compteur, puis calcule un HMAC-SHA1 avec la clé secrète.
- Le code est extrait par troncature dynamique du résultat HMAC (RFC 6238).
- La clé secrète est encodée en Base32 et partagée entre le serveur et l'application d'authentification.
- Tout le calcul se fait dans votre navigateur. Aucune donnée n'est envoyée à un serveur.
À propos du générateur TOTP / 2FA
Pourquoi utiliser l'authentification à deux facteurs TOTP ?
L'authentification à deux facteurs (2FA) est aujourd'hui l'une des protections les plus efficaces contre les accès non autorisés à vos comptes en ligne. Même si votre mot de passe est compromis suite à une fuite de données ou une attaque de phishing, un attaquant ne pourra pas se connecter sans posséder également votre second facteur d'authentification. Le TOTP (Time-based One-Time Password) est le standard le plus largement adopté pour ce second facteur.
Contrairement aux SMS, souvent vulnérables aux attaques de type SIM swapping, le TOTP génère des codes à usage unique directement sur votre appareil à partir d'une clé secrète partagée et du temps Unix actuel. Ce mécanisme défini par la RFC 6238 est implémenté par des applications comme Google Authenticator, Authy ou Bitwarden, et supporté par des milliers de services : banques, réseaux sociaux, gestionnaires de mots de passe, outils DevOps.
Pour les développeurs et les équipes sécurité, comprendre et tester l'implémentation TOTP est indispensable lors du développement de systèmes d'authentification. Cet outil permet de générer et de vérifier des codes TOTP à partir d'une clé secrète Base32, de tester l'intégration d'un service compatible RFC 6238, et de générer des URIs otpauth:// pour configurer des applications d'authentification — le tout sans installer de logiciel ni envoyer de données à un serveur.
Cas d'utilisation courants
- Développeurs et équipes sécurité
- Lors du développement ou du test d'une implémentation 2FA, les ingénieurs utilisent cet outil pour générer des codes TOTP de référence, vérifier la cohérence de leur implémentation et déboguer les problèmes de synchronisation temporelle sans dépendre d'une application mobile.
- Administrateurs système et équipes DevOps
- Pour configurer et tester l'authentification TOTP sur des serveurs, des VPNs ou des outils CI/CD, les administrateurs système utilisent cet outil pour générer des clés secrètes et valider manuellement les codes avant déploiement.
- Professionnels de la cybersécurité
- Les pentesters et auditeurs de sécurité utilisent des générateurs TOTP pour tester la robustesse des implémentations 2FA dans les applications qu'ils évaluent, notamment pour vérifier la gestion de la fenêtre temporelle et la résistance aux attaques par rejeu.
- Formateurs et étudiants en sécurité informatique
- Comprendre concrètement le fonctionnement de TOTP est plus facile avec un outil interactif qui expose la clé secrète, le compteur temporel et le code généré. Cet outil est idéal pour les formations en cybersécurité et les travaux pratiques.
Comment utiliser ce générateur TOTP ?
Saisissez ou générez une clé secrète encodée en Base32 dans le champ dédié. Cliquez sur « Démarrer la génération TOTP » pour afficher le code à 6 chiffres actuel. Celui-ci se renouvelle automatiquement toutes les 30 secondes, conformément au standard RFC 6238.
Pour vérifier un code existant, rendez-vous dans l'onglet « Vérifier un code », saisissez la clé secrète et le code à 6 chiffres que vous souhaitez valider. L'outil compare ce code au TOTP actuellement valide et vous indique s'il correspond ou non.
La section « URI otpauth:// » vous permet de générer une URI standard que vous pouvez utiliser pour configurer Google Authenticator, Authy ou toute application TOTP compatible. Renseignez le nom du compte et l'émetteur pour personnaliser l'entrée dans l'application d'authentification.
Questions fréquentes
- Qu'est-ce que le TOTP et en quoi diffère-t-il du HOTP ?
- TOTP (Time-based OTP) génère des codes basés sur le temps Unix actuel, renouvelés toutes les 30 secondes. HOTP (HMAC-based OTP) utilise un compteur incrémental. Le TOTP est plus sécurisé pour la 2FA car les codes expirent rapidement, limitant la fenêtre d'exploitation en cas d'interception.
- Que se passe-t-il si mon horloge n'est pas synchronisée ?
- Le TOTP est sensible à la synchronisation temporelle. Un décalage de plus de 30 secondes entre votre appareil et le serveur peut rendre les codes invalides. La plupart des implémentations tolèrent un décalage d'une fenêtre (±30 s). Assurez-vous que votre système utilise la synchronisation NTP pour éviter ce problème.
- Le TOTP est-il plus sécurisé que la 2FA par SMS ?
- Oui, significativement. Les SMS sont vulnérables aux attaques de type SIM swapping (détournement de numéro de téléphone), à l'interception sur le réseau SS7 et au phishing en temps réel. Le TOTP, généré localement sur votre appareil à partir d'une clé secrète, n'est pas transmis par réseau téléphonique et est résistant à ces attaques.
- Comment sauvegarder ma clé secrète TOTP ?
- La clé secrète Base32 est la seule information nécessaire pour reconfigurer votre 2FA en cas de perte d'appareil. Stockez-la dans un gestionnaire de mots de passe sécurisé (Bitwarden, 1Password, KeePass) ou notez-la sur papier conservé en lieu sûr. Ne la partagez jamais et ne la stockez pas en clair dans un fichier non chiffré.
- Mes données personnelles sont-elles protégées ?
- Entièrement. Le calcul est réalisé à 100 % côté client, directement dans votre navigateur web. Aucune donnée personnelle n'est envoyée vers un serveur distant ni stockée. Toutes les informations restent sur votre appareil.