什么是 TOTP?它如何保护您的账户?
TOTP(Time-based One-Time Password)即基于时间的一次性密码,是目前最广泛使用的 双因素认证(2FA) 标准之一。它由 RFC 6238 规范定义,常用于 Google Authenticator、Microsoft Authenticator 和 Authy 等应用。
TOTP 的工作原理
TOTP 的核心在于“共享密钥(Shared Secret)”和“当前时间”。
- 密钥交换: 当您开启 2FA 时,服务器会生成一个 Base32 编码的密钥。您通过扫描二维码或手动输入将此密钥存入验证器。
- 同步计算: 您的验证器和服务器会使用相同的密钥和当前的时间步长(通常为 30 秒)运行 HMAC 算法。
- 验证: 因为时间是同步的,两端计算出的 6 位数字也会保持一致。即使黑客窃取了您的静态密码,由于没有此动态验证码,也无法登录您的账号。
解决常见的 2FA 验证失败问题
如果您发现生成的验证码始终提示错误,通常由以下原因引起:
- 时间不同步: 这是最常见的原因。TOTP 极度依赖系统时间。如果您的手机或服务器时间偏差超过 30 秒,验证码就会失效。请确保开启了“自动设置时间”。
- 密钥格式错误: 确保输入的 Secret Key 不包含空格或非法字符。Base32 字符集仅包含 A-Z 和 2-7。
- 步长不匹配: 虽然 30 秒是标准步长,但某些旧系统或特定硬件可能使用 60 秒。
为什么使用在线 TOTP 生成器?
虽然我们建议在手机 App 中管理验证码,但在以下场景中,在线工具非常有用:
- 开发者测试: 在集成 2FA 功能时,开发者可以使用在线工具快速验证算法是否正确。
- 紧急备份: 如果您的手机丢失且留有密钥备份,您可以使用此工具紧急登录账号。
- 多端同步: 在受信任的私有设备上,快速查看验证码而无需掏出手机。
隐私声明: 我们的 TOTP 生成器完全在浏览器本地运行。您的密钥不会被发送到服务器,也不会存储在任何地方。关闭页面后,所有敏感信息将立即消失。