**TOTP** (Time-based, RFC 6238) : le code change **toutes les 30 secondes** selon l'heure actuelle. Ce qu'utilise Google Authenticator. **HOTP** (HMAC-based, RFC 4226) : code basé sur un **compteur**, change uniquement quand tu l'utilises. **HOTP est rare en 2026**.

Pourquoi mon code ne correspond pas à l'appli ?

Les causes les plus fréquentes : - **Heure système désynchronisée** : TOTP tolère ±30s, au-delà ça échoue - **Mauvais algorithme** : SHA-256 vs SHA-1, ou nombre de chiffres (6 vs 8) - **Période 60s au lieu de 30** - **Faute de frappe dans le secret**

Pourquoi je peux choisir 7 ou 8 chiffres ?

Parce que **le standard autorise 6, 7 ou 8** (RFC 6238). **6 est le défaut de fait**, utilisé par 99 % des services. **7 et 8 sont de niche**, certains systèmes entreprise / militaires. Si ton appli en affiche 6, **garde 6**.

Une URI otpauth:// contient-elle le secret ?

**Oui**. Format : `otpauth://totp/Service:user@example.com?secret=BASE32&issuer=Service`. Quand une appli Authenticator **scanne un QR**, c'est exactement ce qu'elle voit. Tu le colles ici, **on le parse en local** et on remplit chaque champ.

Quelle longueur doit avoir le secret ?

**Le standard recommande 160 bits** (20 octets = 32 caractères base32). Plus court (128 bits) fonctionne mais est **techniquement attaquable en force brute**. Notre [générateur de secret TOTP](/fr/generateur-secret-totp) produit toujours des secrets de **160 bits**.

Puis-je utiliser ça à la place de l'appli Authenticator ?

**Techniquement oui**, le calculateur renvoie les mêmes codes pour le même secret. **En pratique** : il te faut quand même stocker le secret quelque part, donc il te faut un emplacement principal. **Meilleure config** : appli sur téléphone + ce calculateur en fallback.

Ça marche hors ligne ?

**Oui**. Après la première visite, la page est **mise en cache par le service worker** : tu peux calculer des codes **sans internet**. Le secret **ne quitte jamais le navigateur**.

Calculateur TOTP - gratuit

Calculateur de code TOTP

Colle un secret ou une URI otpauth:// pour voir le code 2FA en direct avec décompte.

Secret (base32 ou URI otpauth://)

Colle une URI otpauth:// pour remplir tous les champs d'un coup.

Algorithme

Chiffres

Période

Le secret ne quitte jamais ton appareil. Tout tourne dans ton navigateur.

Comment récupérer mon code 2FA quand j'ai perdu mon téléphone Authenticator ?

Colle un secret TOTP (base32 ou URI otpauth://) et l'outil affiche le code actuel à 6 chiffres en direct avec un compte à rebours vers la prochaine rotation.

Exactement ce que Google Authenticator fait sur ton téléphone, dans le navigateur. Le secret n'atteint jamais un serveur.

Utile quand : tu as perdu le téléphone avec la 2FA et qu'il te faut un accès, tu veux un générateur de secours sur un poste de travail, tu debug une intégration 2FA dans ta propre appli.

Comment l'utiliser

Colle un secret base32 (par exemple « JBSWY3DPEHPK3PXP ») ou une URI otpauth:// complète : l'outil détecte les URI et remplit chaque champ.

Défauts : SHA-1 + 6 chiffres + 30s, ce qu'utilisent Google Authenticator, Authy, 1Password. Ne change qu'en cas d'exigence contraire du service.

Le code actuel apparaît immédiatement avec une barre de compte à rebours vers la prochaine rotation.

Clique sur le code = copie dans le presse-papiers.

Au bout de 30 secondes, le code tourne automatiquement, comme l'Authenticator sur ton téléphone.

Quand c'est utile

Cinq situations typiques où un calculateur TOTP remplace l'appli téléphone :

Récupération. Tu as perdu / cassé le téléphone avec la 2FA, mais tu as enregistré le secret (généralement avec les codes de secours à l'inscription) ; colle-le ici, récupère le code, connecte-toi.
Debug. Tu écris une intégration 2FA et tu veux vérifier que ton backend renvoie les mêmes codes que Google Authenticator.
Sauvegarde. La synchro cross-platform des secrets TOTP n'est toujours pas top ; garde ce calculateur en favori comme « appareil secondaire ».
Pédagogie. Vois comment la 2FA fonctionne réellement : HMAC-SHA-1 + temps Unix + troncature dynamique = code à 6 chiffres.
Audit de sécurité. Teste si une appli accepte des secrets faibles ou est vulnérable aux replay attacks.

Pour générer un nouveau secret, utilise le générateur de secret TOTP.

Questions et réponses

Non. Tout le calcul est local : on décode le secret base32 en bytes, on lance HMAC-SHA-1 avec le temps Unix via Web Crypto API, on prend le résultat modulo. Tu peux vérifier dans DevTools (Network), aucun upload.

Comment récupérer mon code 2FA quand j'ai perdu mon téléphone Authenticator ?

Colle un secret TOTP (base32 ou URI otpauth://) et l'outil affiche le code actuel à 6 chiffres en direct avec un compte à rebours vers la prochaine rotation.

Exactement ce que Google Authenticator fait sur ton téléphone, dans le navigateur. Le secret n'atteint jamais un serveur.

Comment l'utiliser

Colle un secret base32 (par exemple « JBSWY3DPEHPK3PXP ») ou une URI otpauth:// complète : l'outil détecte les URI et remplit chaque champ.

Défauts : SHA-1 + 6 chiffres + 30s, ce qu'utilisent Google Authenticator, Authy, 1Password. Ne change qu'en cas d'exigence contraire du service.

Le code actuel apparaît immédiatement avec une barre de compte à rebours vers la prochaine rotation.

Clique sur le code = copie dans le presse-papiers.

Au bout de 30 secondes, le code tourne automatiquement, comme l'Authenticator sur ton téléphone.

Quand c'est utile

Cinq situations typiques où un calculateur TOTP remplace l'appli téléphone :

Récupération. Tu as perdu / cassé le téléphone avec la 2FA, mais tu as enregistré le secret (généralement avec les codes de secours à l'inscription) ; colle-le ici, récupère le code, connecte-toi.
Debug. Tu écris une intégration 2FA et tu veux vérifier que ton backend renvoie les mêmes codes que Google Authenticator.
Sauvegarde. La synchro cross-platform des secrets TOTP n'est toujours pas top ; garde ce calculateur en favori comme « appareil secondaire ».
Pédagogie. Vois comment la 2FA fonctionne réellement : HMAC-SHA-1 + temps Unix + troncature dynamique = code à 6 chiffres.
Audit de sécurité. Teste si une appli accepte des secrets faibles ou est vulnérable aux replay attacks.

Pour générer un nouveau secret, utilise le générateur de secret TOTP.

Questions et réponses

Calculateur TOTP

Comment récupérer mon code 2FA quand j'ai perdu mon téléphone Authenticator ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Générateur secret TOTP

Codes de sauvegarde 2FA

Générateur de mots de passe

Calculateur TOTP

Comment récupérer mon code 2FA quand j'ai perdu mon téléphone Authenticator ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Générateur secret TOTP

Codes de sauvegarde 2FA

Générateur de mots de passe