Rechner Welt
🇩🇪DE🇬🇧EN

TOTP-Secret-Generator 2026

Stand April 2026
Geprueft von Finanzrechner-Redaktion, Redaktion Tools|Stand: April 2026|Quellen: RFC 6238 — TOTP, RFC 4226 — HOTP, Google Authenticator Key URI Format

Erzeugt 160-Bit-Secrets in Base32 mit otpauth-QR-Code fuer Google Authenticator, Authy und Aegis — komplett im Browser.

Das Tool erzeugt per crypto.getRandomValues 160 Bit Zufallsdaten, codiert sie als Base32 und baut einen otpauth-URI mit QR-Code. Sie scannen den QR-Code mit Ihrer Authenticator-App und sind sofort 2FA-bereit.

So funktioniert TOTP

Aus dem geteilten Secret und einem Zeitfenster (Unix-Time durch 30) berechnet HMAC-SHA-1 einen Hash, von dem die letzten Bytes als 6-stellige Zahl extrahiert werden. App und Server berechnen synchron, daher gleiche Zeit noetig.

Format und otpauth-URI

Format: otpauth://totp/Issuer:Account?secret=BASE32&issuer=Issuer&algorithm=SHA1&digits=6&period=30. Diese URI wird in den QR-Code eingebettet.

Anwendungsfaelle

2FA fuer Webdienste (Google, GitHub, Cloudflare), Admin-Logins, VPN, SSH, Code-Repositories. Standard fuer 'Software-Token'.

Datenschutz

Secret und QR-Code entstehen ausschliesslich im Browser. Keine Server-Calls.

Typische Fehler

  • Backup vergessen — bei Geraetewechsel Aussperrung.
  • Zeit driftet auseinander — Geraetezeit per NTP synchronisieren.
  • Secret an Dritte geben — gilt als Schluessel-Kompromittierung.

Häufige Fragen

Time-based One-Time Password nach RFC 6238. Aus einem geheimen Schluessel und der aktuellen Zeit wird alle 30 Sekunden ein 6-stelliger Code generiert. Bekannt als 'Google Authenticator-Code'.
Google Authenticator, Microsoft Authenticator, Authy, 2FAS, Aegis, Bitwarden, 1Password — der Standard ist universal.
RFC 4226 empfiehlt mindestens 128 Bit (16 Byte), besser 160 Bit (20 Byte). Das Tool erzeugt 20 Byte = 32 Base32-Zeichen.
Eine Codierung mit 32 Zeichen (A-Z, 2-7), die ohne Verwechslungsgefahr und gross/kleinunabhaengig ist — ideal fuer Authenticator-Apps.
Ja. Wenn der QR-Code nicht scanbar ist, koennen Sie das Base32-Secret in der App manuell eintragen.
Nein. Generierung und QR-Code werden vollstaendig im Browser erzeugt.
Standard: SHA-1, 6 Stellen, 30 Sekunden Periode. Manche Dienste nutzen 8 Stellen oder SHA-256.
Speichern Sie Backup-Codes oder das Secret an sicherem Ort. Ohne beides ist 2FA-Zugang verloren.

Verwandte Tools

🔐Passwort-Generator📱QR-Code-Generator (URL)🔐HMAC-Generator

Alle Tools laufen vollständig im Browser, es werden keine eingegebenen Daten an einen Server übertragen. Ohne Gewähr — keine Rechts-, Steuer- oder Finanzberatung.

Letzte Aktualisierung: April 2026 | Quellen: RFC 6238 — TOTP, RFC 4226 — HOTP, Google Authenticator Key URI Format