Generador de Código QR TOTP
Crea un código QR otpauth:// para Google Authenticator, 1Password, Authy y amigos. Secreto generado localmente.
Respuesta rápida: Crea un código QR otpauth:// para Google Authenticator, 1Password, Authy y amigos. Secreto generado localmente.
Última actualización
Preguntas frecuentes
- ¿Qué es TOTP?
- Contraseña de un solo uso basada en el tiempo — el código de 6 dígitos que rota cada 30 segundos en aplicaciones como Google Authenticator. Está definido en el RFC 6238 y es el estándar de facto para la autenticación en 2 pasos basada en aplicaciones.
- ¿Qué aplicaciones pueden escanear este código QR?
- Cualquier aplicación TOTP que cumpla con los estándares: Google Authenticator, Microsoft Authenticator, 1Password, Authy, Aegis (Android), Raivo (iOS), Bitwarden, KeePassXC, ente Auth y muchas más.
- ¿Se envía el secreto a tu servidor?
- No. El secreto se genera localmente con crypto.getRandomValues(), y el código QR se renderiza localmente mediante la biblioteca qrcode (cargada bajo demanda). Nunca vemos el secreto.
- ¿Debería usar SHA-1, SHA-256 o SHA-512?
- SHA-1 para máxima compatibilidad — Google Authenticator y varios otros ignoran el campo del algoritmo y asumen SHA-1. Usa SHA-256 solo si controlas ambos extremos de la integración.
- ¿Cuál es la diferencia entre 6 y 8 dígitos?
- Seis es estándar. Ocho añade dos dígitos aleatorios más (~6.6 bits de entropía extra por código), lo que eleva marginalmente la dificultad contra adivinaciones en línea — pero la aplicación debe admitirlo. Mantente en 6 a menos que tengas una razón específica.
- ¿Puedo cambiar el intervalo de tiempo?
- Sí, entre 15 y 120 segundos. 30 es el valor predeterminado universal; solo cámbialo al integrarte con un sistema no estándar.
- ¿Qué hace el 'emisor'?
- Es el nombre del servicio que se muestra dentro de la aplicación de autenticación (por ejemplo, 'GitHub'). También actúa como un espacio de nombres, por lo que dos cuentas en diferentes servicios con el mismo correo electrónico no chocan.
- ¿Dónde guardo el secreto si pierdo mi teléfono?
- Imprime el código QR o guarda el secreto en el campo 'Notas' de tu gestor de contraseñas. Si vuelves a escanear el QR en un nuevo dispositivo, los códigos retomarán exactamente donde lo dejaron.
- ¿Es esta una configuración real de 2FA o solo una demo?
- Es real. Cualquier servicio que use TOTP conforme a los estándares (la mayoría de ellos) aceptará los códigos QR generados aquí. Por supuesto, el lado de verificación también necesita el mismo secreto.
- ¿Puedo generar un QR para un secreto que ya tengo?
- Sí. Pega tu secreto existente en base32 en el campo de secreto — lo volveremos a codificar en una nueva URL de otpauth y QR.