Offline TOTP / HOTP Code-Generator

Erzeugt Einmalpasswörter TOTP RFC 6238 (6/8 Ziffern, 30/60 s) und HOTP RFC 4226 (zählerbasiert) aus einem base32-Secret, offline, mit HMAC-SHA1/256/512, und exportiert eine otpauth://-URI

Gib das base32-Shared-Secret ein (wie neben dem QR-Code in Google Authenticator / Authy) und das Tool berechnet die Einmalpasswörter lokal – es wird nichts an einen Server gesendet.

Unterstützt:

  • TOTP (RFC 6238): zeitbasierte Codes aus aktueller UNIX-Zeit und Schritt (30 s oder 60 s). Das, was Google Authenticator für die meisten 2FA-Konten anzeigt.
  • HOTP (RFC 4226): zählerbasierte Codes aus einem gemeinsamen Zähler.
  • HMAC-Algorithmen: SHA-1 (RFC-Standard), SHA-256, SHA-512.
  • 6 Ziffern (Standard) oder 8.
  • „N nächste Codes anzeigen“: Vorschau auf kommende TOTP-Fenster oder HOTP-Zähler.
  • Export einer otpauth://-URI (mit optionalem Aussteller und Konto-Label) zum Reimport in jede App.

Hinweise zur Implementierung:

  • HOTP nutzt die Standard-Dynamisch-Kürzung: HMAC des 8-Byte-Big-Endian-Zählers, nimm die unteren 4 Bits des letzten Bytes als Offset, lies eine 31-Bit-Ganzzahl, dann mod 10^Ziffern.
  • TOTP ist HOTP mit Zähler = floor(UNIX-Zeit / Schritt).
  • Secret-Dekodierung als RFC-4648-Base32 (ohne Padding); Leerzeichen werden ignoriert.

Beispielergebnisse

1 Beispiele

Aktuellen 6-stelligen TOTP erzeugen

Verwendet die klassische Test-Seed JBSWY3DPEHPK3PXP (SHA-1, 6 Ziffern, 30 s).

Shows the current TOTP code, countdown ring, next 5 windows, and an otpauth:// URI.
Eingabeparameter anzeigen
{ "secret": "JBSWY3DPEHPK3PXP", "mode": "totp", "algorithm": "sha1", "digits": 6, "period": 30, "counter": 0, "preview": 5, "issuer": "Acme", "account": "[email protected]" }

Wichtige Fakten

Kategorie
Sicherheit & Validierung
Eingabetypen
text, select, number
Ausgabetyp
html
Sample-Abdeckung
4
API verfügbar
Yes

Überblick

Der Offline TOTP / HOTP Code-Generator berechnet zeitbasierte (RFC 6238) und zählerbasierte (RFC 4226) Einmalpasswörter direkt in Ihrem Browser aus einem Base32-Secret, ohne sensible Daten an einen Server zu übertragen.

Wann verwenden

  • Wenn Sie die Gültigkeit eines 2FA-Secrets überprüfen möchten, ohne eine Smartphone-App zu verwenden.
  • Zur Generierung von otpauth://-URIs, um bestehende Zwei-Faktor-Authentifizierungen einfach in andere Authenticator-Apps zu importieren.
  • Bei der Entwicklung oder beim Testen von eigenen OTP-Implementierungen mit verschiedenen HMAC-Algorithmen wie SHA-256 oder SHA-512.

So funktioniert es

  • Geben Sie das Base32-Shared-Secret in das Eingabefeld ein, wobei Leerzeichen automatisch ignoriert werden.
  • Wählen Sie den gewünschten Modus (TOTP, HOTP oder beide), den HMAC-Algorithmus sowie die Anzahl der Ziffern und den Zeitschritt.
  • Das Tool berechnet lokal mittels HMAC-Algorithmen und dynamischer Kürzung das Einmalpasswort für das aktuelle Zeitfenster oder den Zählerstand.
  • Optional können Sie eine otpauth://-URI mit Aussteller und Kontobezeichnung generieren lassen, um den Schlüssel per QR-Code oder Link zu exportieren.

Anwendungsfälle

Lokales Generieren von 2FA-Codes zur Anmeldung, falls das Smartphone nicht griffbereit ist.
Erstellung von otpauth://-Links zur Migration von 2FA-Konten auf neue Geräte oder alternative Apps.
Debugging und Validierung von OTP-Implementierungen während der Softwareentwicklung.

Beispiele

1. Standard-TOTP-Code für Google Authenticator generieren

Systemadministrator
Hintergrund
Ein Administrator muss einen zeitbasierten 2FA-Code für ein Systemkonto verifizieren, ohne ein physisches Smartphone zu nutzen.
Problem
Berechnung des aktuellen 6-stelligen TOTP-Codes aus einem Base32-Secret mit 30 Sekunden Intervall.
Verwendung
Geben Sie das Secret 'JBSWY3DPEHPK3PXP' ein, wählen Sie den Modus 'TOTP', den Algorithmus 'SHA-1' und 6 Ziffern.
Beispielkonfiguration
Secret: JBSWY3DPEHPK3PXP, Modus: TOTP, Algorithmus: SHA-1, Ziffern: 6, Zeitschritt: 30
Ergebnis
Der aktuelle 6-stellige Code wird zusammen mit einem Countdown und den nächsten 5 kommenden Codes angezeigt.

2. Zählerbasierten HOTP-Code berechnen

Software-Entwickler
Hintergrund
Ein Entwickler implementiert eine zählerbasierte Anmeldung und möchte die Korrektheit seiner HMAC-Berechnung prüfen.
Problem
Generierung eines HOTP-Codes für einen spezifischen Zählerstand von 12.
Verwendung
Tragen Sie das Secret ein, stellen Sie den Modus auf 'HOTP', setzen Sie den Zähler auf 12 und wählen Sie SHA-256 als Algorithmus.
Beispielkonfiguration
Secret: JBSWY3DPEHPK3PXP, Modus: HOTP, Algorithmus: SHA-256, Ziffern: 8, Zähler: 12
Ergebnis
Ein 8-stelliger HOTP-Code basierend auf dem Zählerstand 12 wird ausgegeben.

Mit Samples testen

hash
QR-Code-Beispiele
Beispiel-QR-Code-Bilder zum Testen von QR-Code-Lese- und Generierungswerkzeugen
title token code
sample
Code-Beispiele mit Ungültigen Variablennamen
Code-Beispieldateien, die ungültige Variablenbenennungskonventionen in verschiedenen Programmiersprachen demonstrieren
title token code
sample
Code-Kommentar-Beispiele
Code-Beispieldateien mit verschiedenen Kommentarstilen zum Testen der Kommentarentfernung
title token code
sample
Farbcode-Beispiele
Sammlung von Farbcodes in verschiedenen Formaten (Hex, RGB, HSL, benannte Farben) für Validierungstests
title token code
sample

Verwandte Hubs

Tools fur Audio-Encoding und Formatkonvertierung
Vergleiche Audioformat-Konvertierung, Bitratenanderungen, Abtastraten-Konvertierung, Codec-Wechsel und Export-Tools in einem Hub.
Tools fur Bildformat-Konvertierung und animierten Export
Vergleiche Bildkonverter fur JPG, PNG, GIF, AVIF, WebP, TIFF, ICO, base64 und animationsgeeignete Exporte in einem Hub.
Tools fur JSON-Austausch und Format-Ubersetzung
Vergleiche JSON-Konvertierungswerkzeuge fur CSV, YAML, TOML, GraphQL, XML, Markdown, Excel, BSON, EDN und ahnliche strukturierte Formate in einem Hub.
Farbraum-Konvertierung fur Web und Druck
Gebundelte Werkzeuge fur Farbraum-Konvertierung zwischen Web und Druck in einem Hub.

FAQ

Werden meine Secrets online übertragen?

Nein, die Berechnung der TOTP- und HOTP-Codes erfolgt vollständig lokal in Ihrem Browser. Es werden keine Daten an externe Server gesendet.

Welche HMAC-Algorithmen werden unterstützt?

Das Tool unterstützt HMAC-SHA-1 (den Standard für die meisten Apps), HMAC-SHA-256 und HMAC-SHA-512.

Was ist der Unterschied zwischen TOTP und HOTP?

TOTP generiert Codes basierend auf der aktuellen Uhrzeit (z. B. alle 30 Sekunden), während HOTP auf einem fortlaufenden Zähler basiert.

Kann ich die generierten Schlüssel in Google Authenticator importieren?

Ja, das Tool generiert eine standardisierte otpauth://-URI, die von gängigen Authenticator-Apps importiert werden kann.

Wie geht das Tool mit Leerzeichen im Secret um?

Leerzeichen im Base32-Secret werden automatisch ignoriert, sodass Sie kopierte Schlüssel direkt einfügen können.

API-Dokumentation

Request-Endpunkt

POST /de/api/tools/totp-hotp-offline-generator

Request-Parameter

Parameter-Name Typ Erforderlich Beschreibung
secret text Ja -
mode select Nein -
algorithm select Nein -
digits select Nein -
period select Nein -
counter number Nein -
preview number Nein -
issuer text Nein -
account text Nein -

Antwortformat

{
  "result": "
Processed HTML content
",
  "error": "Error message (optional)",
  "message": "Notification message (optional)",
  "metadata": {
    "key": "value"
  }
}
HTML: HTML

MCP-Dokumentation

Fügen Sie dieses Tool zu Ihrer MCP-Server-Konfiguration hinzu: 

{
  "mcpServers": {
    "elysiatools-totp-hotp-offline-generator": {
      "name": "totp-hotp-offline-generator",
      "description": "Erzeugt Einmalpasswörter TOTP RFC 6238 (6/8 Ziffern, 30/60 s) und HOTP RFC 4226 (zählerbasiert) aus einem base32-Secret, offline, mit HMAC-SHA1/256/512, und exportiert eine otpauth://-URI",
      "baseUrl": "https://elysiatools.com/mcp/sse?toolId=totp-hotp-offline-generator",
      "command": "",
      "args": [],
      "env": {},
      "isActive": true,
      "type": "sse"
    }
  }
}

Sie können mehrere Tools verketten, z.B.: `https://elysiatools.com/mcp/sse?toolId=png-to-webp,jpg-to-webp,gif-to-webp`, maximal 20 Tools.

Wenn Sie auf Probleme stoßen, kontaktieren Sie uns bitte bei [email protected]