2FA authenticator 和 TOTP generator 有什么区别？

TOTP generator 是根据共享密钥和时间计算一次性验证码的工具；2FA authenticator 是提供第二重身份验证的任何工具。这个页面两者兼具——既能生成 TOTP 验证码，也能作为轻量的浏览器端 2FA authenticator 使用。

TOTP secret 是存在服务器还是本地浏览器？

本地。你的 TOTP secret 的解析、保存和验证码计算全部在当前浏览器完成，这个工具不会把密钥发送到远程服务器。

可以在一个浏览器工具里管理多个 2FA 账户吗？

可以。把每个服务分别添加为一条记录，用 app name 或账户标注，登录时直接复制对应的验证码即可。

为什么 authenticator 验证码每 30 秒就会变？

大多数 TOTP 账户使用 30 秒的时间步长。Authenticator 把你的 secret 和当前时间窗口组合运算，窗口一过就自动生成新的验证码。

两步验证码一直不对怎么办？

检查四点：(1) 设备时间是否已同步网络时间；(2) 是否选对了账户记录；(3) 验证码是否已过期；(4) 目标服务是否要求非默认的 TOTP 设置，比如 SHA-256 或 8 位验证码。

2FA TOTP Authenticator

通过 Base32 secret 或 otpauth 二维码生成 2FA 验证码。TOTP 密钥只保存在当前浏览器。

••••••

什么是两步验证（2FA）？

两步验证（2FA）是一种要求两道独立身份证明才能放行的安全机制。即使密码泄露，攻击者依然需要一个短期验证码、硬件密钥或 passkey 确认才能登录。目前大多数应用的第二因素，就是 authenticator 生成的 6 位动态码。

TOTP 如何生成一次性验证码？

TOTP（time-based one-time password）是一种将共享密钥和当前时间结合生成短效验证码的标准。开启 2FA 时，服务会给你一个 secret，通常封装在 otpauth 二维码里。Authenticator 每 30 秒把 secret 和当前时间窗口做一次运算，输出一组新的验证码。

如何在一个 authenticator 管理多个 2FA 账户

你可以把所有 TOTP 账户集中管理。为每个服务添加一条记录，标注 app name、账户或备注，需要登录时直接预览并复制对应的验证码，不用再在手机 authenticator 里来回翻找。

为什么把 TOTP secret 存在本地而不是云端？

密钥留在自己设备上，意味着不会因为某个服务器被攻破而全部泄露。这个工具把所有数据保存在当前浏览器，适合个人备份、开发测试、临时凭证，或者把工作账户和手机 authenticator 分开管理。

如何用这个 TOTP authenticator 生成 2FA 验证码

1
粘贴 Base32 TOTP secret，或识别 otpauth 二维码。
2
填写 app name、account 或备注，方便区分不同验证码。
3
在 30 秒计时刷新前复制当前 2FA code。

2FA、TOTP 和 authenticator app 有什么区别？

2FA 是安全理念，TOTP 是协议，authenticator app 是实现协议的工具。具体来说：两步验证（2FA）要求登录时提供第二道证明；TOTP 是用共享密钥和时间生成短效验证码的标准；authenticator 则是完成这套计算的软件。这个页面聚焦 TOTP，因为它是邮箱、开发者平台、交易所和企业内部系统支持最广泛的 2FA 方式。

为什么我的 2FA 验证码不起作用？

验证码失败通常是因为 authenticator 和服务器在时间、密钥或账户上出现了分歧。码本身看起来没问题，但这三项中任何一项不一致都会导致验证被拒绝。

设备时钟不准

TOTP 依赖时间。如果电脑或手机时间偏差超过一个时间窗口，生成的验证码就可能无效。开启系统自动校时后再试一次。

secret 或账户选错

多个账户使用同一个服务时，复制的 secret、二维码、issuer 或账户备注容易混在一起。提交前确认这条记录对应正在登录的那个账户。

验证码窗口过期

大多数验证码每 30 秒轮换一次。如果倒计时快结束了，先等下一个 code 再提交，尤其是在加载较慢的登录页面上。

TOTP 设置不同

多数服务使用 SHA-1、6 位数字和 30 秒周期，但也有服务使用不同设置。导入完整 otpauth 二维码通常最稳妥。

关于 TOTP 和 2FA 验证码的常见问题