Что такое TOTP
TOTP означает Time-based One-Time Password: одноразовый пароль на основе времени. При настройке 2FA сервис создает секрет, а пользователь сохраняет его в Google Authenticator, Microsoft Authenticator, другом authenticator app или вводит в TOTP generator online. Затем приложение и сервер независимо считают один и тот же код.
Код называется одноразовый, потому что он подходит только для короткого временного окна. Чаще всего это шесть цифр примерно на 30 секунд. После обновления старое значение уже не должно приниматься.
Чем TOTP отличается от OTP
OTP - общий термин для одноразового пароля. TOTP - частный вариант OTP, где меняющимся фактором является текущее время. Есть и другие варианты, например коды по счетчику, но в большинстве современных 2FA-сценариев пользователь видит именно TOTP.
Когда сайт показывает QR code для настройки 2FA, внутри обычно находится otpauth-ссылка с секретом. Если раскрыть ее вручную, секрет часто выглядит как Base32 token. Этот token base32 нельзя публиковать: по нему можно получать новые одноразовые коды.
Где используется TOTP
TOTP применяется в почте, админ-панелях, финансовых сервисах, маркетплейсах и рабочих аккаунтах. Его поддерживают Google Authenticator, Microsoft Authenticator и многие альтернативные приложения.
Онлайн-инструмент полезен, когда нужно быстро проверить токен, открыть тестовый доступ или получить код в рабочем браузере. Для постоянного личного хранения секретов лучше использовать защищенное приложение и резервные коды.