**TOTP** (Time-based, RFC 6238): der Code ändert sich **alle 30 Sekunden** abhängig von der aktuellen Zeit. Das nutzt der Google Authenticator. **HOTP** (HMAC-based, RFC 4226): der Code basiert auf einem **Zähler** und ändert sich nur bei Verwendung. **HOTP ist 2026 selten**.

Warum stimmt mein Code nicht mit der App überein?

Die häufigsten Gründe: - **Systemzeit nicht synchron**: TOTP toleriert ±30s, darüber hinaus schlägt es fehl - **Falscher Algorithmus**: SHA-256 statt SHA-1 oder andere Ziffernzahl (6 vs. 8) - **60s Periode statt 30** - **Tippfehler im Secret**

Warum kann ich 7 oder 8 Ziffern wählen?

Weil **der Standard 6, 7 oder 8 erlaubt** (RFC 6238). **6 ist der De-facto-Default**, 99 % der Dienste nutzen es. **7 und 8 sind Nische**, einige Unternehmens-/Militärsysteme. Wenn deine App 6 anzeigt, **bleib bei 6**.

Enthält eine otpauth://-URI das Secret?

**Ja**. Format: `otpauth://totp/Service:user@example.com?secret=BASE32&issuer=Service`. Wenn eine Authenticator-App **einen QR scannt**, ist genau das der Inhalt. Du fügst die URI hier ein, **wir parsen sie lokal** und füllen jedes Feld.

Wie lang sollte das Secret sein?

**Der Standard empfiehlt 160 Bit** (20 Bytes = 32 Base32-Zeichen). Kürzer (128 Bit) funktioniert, ist aber **technisch brute-force-bar**. Unser [TOTP-Secret-Generator](/de/totp-secret-generator) liefert immer **160-Bit-Secrets**.

Kann ich das statt der Authenticator-App nutzen?

**Technisch ja**, der Rechner liefert für dasselbe Secret dieselben Codes. **Praktisch**: du musst das Secret trotzdem irgendwo speichern, brauchst also einen Hauptort. **Bestes Setup**: App auf dem Handy + dieser Rechner als Fallback.

Funktioniert es offline?

**Ja**. Nach dem ersten Besuch ist die Seite **durch den Service Worker gecached**, du kannst Codes **ohne Internet** berechnen. Das Secret **verlässt den Browser nie**.

TOTP-Code-Rechner - kostenlos

TOTP-Code-Rechner

Füge ein Secret oder eine otpauth://-URI ein, um den Live-2FA-Code mit Countdown zu sehen.

Secret (base32 oder otpauth://-URI)

Füge eine otpauth://-URI ein, um alle Felder auf einmal zu befüllen.

Algorithmus

Ziffern

Zeitraum

Das Secret verlässt dein Gerät nie. Alles läuft in deinem Browser.

Wie bekomme ich meinen 2FA-Code, wenn ich das Authenticator-Handy verloren habe?

Füge ein TOTP-Secret (Base32 oder otpauth://-URI) ein, und das Tool zeigt den aktuellen 6-stelligen Code live mit Countdown bis zur nächsten Rotation.

Macht dasselbe wie der Google Authenticator auf deinem Handy, nur im Browser. Das Secret erreicht keinen Server.

Nützlich, wenn: du das Handy verloren hast und Zugriff brauchst, du einen Backup-Generator auf dem Desktop willst oder eine 2FA-Integration in deiner eigenen App debuggst.

So nutzt du das Tool

Füge ein Base32-Secret (z. B. "JBSWY3DPEHPK3PXP") oder eine komplette otpauth://-URI ein, das Tool erkennt URIs und füllt jedes Feld automatisch aus.

Standardwerte: SHA-1 + 6 Ziffern + 30s, das nutzen Google Authenticator, Authy, 1Password. Ändere das nur, wenn dein Dienst etwas anderes verlangt.

Der aktuelle Code erscheint sofort mit einem Countdown-Balken bis zur nächsten Rotation.

Klick auf den Code = in die Zwischenablage kopieren.

Nach 30 Sekunden rotiert der Code automatisch, genauso wie der Authenticator auf deinem Handy.

Wann das hilfreich ist

Fünf typische Situationen, in denen ein TOTP-Rechner die Handy-App ersetzt:

Wiederherstellung. Du hast das 2FA-Handy verloren oder kaputt gemacht, aber das Secret gesichert (üblicherweise zusammen mit Backup-Codes beim Setup); hier einfügen, Code lesen, einloggen.
Debugging. Du schreibst eine 2FA-Integration und willst prüfen, ob dein Backend dieselben Codes liefert wie der Google Authenticator.
Backup. Plattformübergreifender TOTP-Secret-Sync ist immer noch durchwachsen; halte diesen Rechner als "zweites Gerät" gebookmarkt.
Schulung. Sehen, wie 2FA tatsächlich funktioniert: HMAC-SHA-1 + Unix-Zeit + Dynamic Truncation = 6-stelliger Code.
Security-Audit. Testen, ob eine App schwache Secrets akzeptiert oder anfällig für Replay-Angriffe ist.

Zum Erzeugen eines neuen Secrets nutze den TOTP-Secret-Generator.

Fragen und Antworten

Nein. Die gesamte Berechnung läuft lokal: wir decodieren das Base32-Secret in Bytes, rechnen HMAC-SHA-1 mit Unix-Zeit über die Web Crypto API und nehmen den Modulo. Du kannst das in DevTools (Netzwerk) prüfen, kein Upload.

Wie bekomme ich meinen 2FA-Code, wenn ich das Authenticator-Handy verloren habe?

Füge ein TOTP-Secret (Base32 oder otpauth://-URI) ein, und das Tool zeigt den aktuellen 6-stelligen Code live mit Countdown bis zur nächsten Rotation.

Macht dasselbe wie der Google Authenticator auf deinem Handy, nur im Browser. Das Secret erreicht keinen Server.

Nützlich, wenn: du das Handy verloren hast und Zugriff brauchst, du einen Backup-Generator auf dem Desktop willst oder eine 2FA-Integration in deiner eigenen App debuggst.

So nutzt du das Tool

Füge ein Base32-Secret (z. B. "JBSWY3DPEHPK3PXP") oder eine komplette otpauth://-URI ein, das Tool erkennt URIs und füllt jedes Feld automatisch aus.

Standardwerte: SHA-1 + 6 Ziffern + 30s, das nutzen Google Authenticator, Authy, 1Password. Ändere das nur, wenn dein Dienst etwas anderes verlangt.

Der aktuelle Code erscheint sofort mit einem Countdown-Balken bis zur nächsten Rotation.

Klick auf den Code = in die Zwischenablage kopieren.

Nach 30 Sekunden rotiert der Code automatisch, genauso wie der Authenticator auf deinem Handy.

Wann das hilfreich ist

Fünf typische Situationen, in denen ein TOTP-Rechner die Handy-App ersetzt:

Wiederherstellung. Du hast das 2FA-Handy verloren oder kaputt gemacht, aber das Secret gesichert (üblicherweise zusammen mit Backup-Codes beim Setup); hier einfügen, Code lesen, einloggen.
Debugging. Du schreibst eine 2FA-Integration und willst prüfen, ob dein Backend dieselben Codes liefert wie der Google Authenticator.
Backup. Plattformübergreifender TOTP-Secret-Sync ist immer noch durchwachsen; halte diesen Rechner als "zweites Gerät" gebookmarkt.
Schulung. Sehen, wie 2FA tatsächlich funktioniert: HMAC-SHA-1 + Unix-Zeit + Dynamic Truncation = 6-stelliger Code.
Security-Audit. Testen, ob eine App schwache Secrets akzeptiert oder anfällig für Replay-Angriffe ist.

Zum Erzeugen eines neuen Secrets nutze den TOTP-Secret-Generator.

Fragen und Antworten

TOTP-Code-Rechner

Wie bekomme ich meinen 2FA-Code, wenn ich das Authenticator-Handy verloren habe?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

TOTP-2FA-Secret-Generator

2FA Backup-Codes Generator

Passwort-Generator

TOTP-Code-Rechner

Wie bekomme ich meinen 2FA-Code, wenn ich das Authenticator-Handy verloren habe?

So nutzt du das Tool

Wann das hilfreich ist

Fragen und Antworten

Passende Tools

TOTP-2FA-Secret-Generator

2FA Backup-Codes Generator

Passwort-Generator