מהו TOTP?
TOTP (Time-based One-Time Password, RFC 6238) הוא האלגוריתם העומד מאחורי רוב אפליקציות האימות הדו-שלבי (2FA) כגון Google Authenticator, Authy ו-1Password. מפתח סודי משותף מקודד ב-Base32 מאוחסן הן בשרת והן באפליקציית האימות. כל 30 שניות, שני הצדדים מחשבים באופן עצמאי קוד בן 6 ספרות על ידי הפעלת HMAC-SHA1 על חלון הזמן הנוכחי של 30 שניות תוך שימוש במפתח הסודי, ולאחר מכן לוקחים את 6 הספרות האחרונות. מכיוון שהקודים מבוססי זמן, קוד תקף למשך כ-30-90 שניות (לאפשר סטייה בשעון). כלי זה מממש את אלגוריתם ה-TOTP המלא בדפדפן שלך באמצעות Web Crypto API — המפתח הסודי שלך לעולם אינו עוזב את המכשיר שלך.
כיצד להשתמש במחולל ה-TOTP
-
הכנס את מפתח ה-Base32 הסודי מהשירות או האפליקציה שלך (המחרוזת המוצגת בעת הגדרת 2FA).
-
לחץ על צור ליצירת מפתח סודי אקראי לצורך בדיקה.
-
מלא את שם החשבון ואת המנפיק לזיהוי הרשומה באפליקציית האימות שלך.
-
קוד ה-6 ספרות מתרענן אוטומטית כל 30 שניות — סרגל ההתקדמות והספירה לאחור מציגים את הזמן שנותר.
-
לחץ על העתק קוד להעתקת הקוד הנוכחי ללוח.
-
סרוק את קוד ה-QR עם כל אפליקציית אימות (Google Authenticator, Authy וכדומה) להוספת החשבון.
-
השתמש בסעיף אמת כדי לבדוק אם קוד תקף כעת (מאפשר חלון של ±1 לסטיית שעון).