Quelle appli sur téléphone choisir ?

**Toutes les populaires** scannent notre QR : - **Google Authenticator** : Android/iOS, gratuit - **Microsoft Authenticator** : gratuit - **Authy** : gratuit, synchro multi-appareils - **1Password** : payant, intégration gestionnaire de mots de passe - **Bitwarden Authenticator** : open source - **Aegis** : Android, open source, meilleur pour la vie privée - **Raivo OTP** : iOS, open source

Ce secret fonctionnera-t-il dans mon application ?

**Oui** si ton appli utilise une bibliothèque TOTP standard (otplib, speakeasy, twofactor). Au moment de configurer le backend, **utilise le secret sous forme base32** (32 caractères). **Les paramètres par défaut** (SHA-1, 6 chiffres, 30s) fonctionnent dans toutes les bibliothèques. Pour SHA-256/512, vérifie que ton serveur les supporte.

Le secret quitte-t-il le navigateur ?

**Non**. Génération du secret (Web Crypto API), encodage base32, QR (bwip-js en navigateur) : **tout est local**. **DevTools → Network** = aucune requête. Le secret **ne quitte jamais l'appareil**.

SHA-1 vs SHA-256 vs SHA-512 ?

**SHA-1** : défaut RFC 6238, supporté **PARTOUT**. Même si SHA-1 est « cassé cryptographiquement », en **HMAC-TOTP, ça ne change rien en pratique** (pas le temps pour des attaques par collision dans la fenêtre de 30 s). **SHA-256/512** : plus robuste, mais certaines vieilles applis 2FA ne le supportent pas. **Reste sur SHA-1** sauf besoin spécifique plus fort.

**Standard = 6 chiffres** (10^6 = 1 M de combinaisons). **8 chiffres** = 100 M, bien plus dur à deviner. **Mais** la plupart des serveurs TOTP attendent **6, pas 8**. Vérifie la doc de ton appli avant de changer.

Et si je perds mon téléphone Authenticator ?

**Si tu as enregistré le secret** (sauvegarde papier) : ajoute-le dans une nouvelle appli Authenticator, tu obtiens **les mêmes codes**. **Sinon** : la récupération TOTP est impossible. Utilise les [codes de secours](/fr/generateur-codes-de-secours). **Sans codes de secours**, il ne reste que la récupération de compte du service (e-mail, SMS, support). **Leçon** : **enregistre toujours secret + codes de secours** une fois à la configuration 2FA.

Puis-je utiliser le même secret sur plusieurs appareils ?

**Oui**. Le secret est une clé : **tout appareil dont l'Authenticator a le même secret** génère **les MÊMES codes**. Tu peux avoir l'Authenticator sur téléphone + portable + le secret sur papier. **Les trois** te donnent le même code à 6 chiffres au même moment. **C'est une fonctionnalité, pas un bug**, ça te donne de la redondance en cas de perte du téléphone.

Générateur secret TOTP - gratuit

Code QR à scanner

Secret (base32)

-

Tape-le à la main si l'app ne peut pas lire le QR.

URI otpauth://

Émetteur

Nom du service affiché dans l'app.

Compte

Ton email ou login dans la liste des comptes.

Algorithme

Chiffres

Période

Compatibilité la plus sûre : SHA-1, 6 chiffres, 30 s. Certaines apps ne supportent pas SHA-256 ou 8 chiffres.

Secret généré localement, jamais envoyé à un serveur.

Générer aussi des codes de sauvegarde

Comment ajouter la 2FA (Google Authenticator) à mon application ?

Génère un secret TOTP pour la 2FA : une clé aléatoire + un code QR prêt à scanner pour Google Authenticator, Authy, 1Password, Microsoft Authenticator, Aegis.

Le standard RFC 6238 : secret base32 de 160 bits + l'URI standard « otpauth://totp/... » utilisée par toutes les applis 2FA populaires.

Parfait pour ajouter la 2FA à ta propre application, tester des intégrations, migrer la 2FA d'un authentificateur à l'autre.

Comment l'utiliser

« Issuer » = nom de l'application/service (par exemple « MyService », « Banque ABC »). Apparaît comme titre dans l'Authenticator.

« Account » = identifiant utilisateur (par exemple « jean@entreprise.com »). Apparaît sous l'issuer.

Laisse les valeurs par défaut SHA-1, 6 chiffres, 30s, le standard du secteur. Tous les Authenticator populaires le supportent.

Scanne le QR avec l'appli Authenticator sur ton téléphone. Ou copie le secret et tape-le comme « Setup Key ».

Le téléphone commence à afficher des codes à 6 chiffres rafraîchis toutes les 30 s.

Enregistre le secret dans un endroit sûr (papier, gestionnaire de mots de passe). Sans lui, si tu perds le téléphone, tu ne peux pas récupérer. Génère aussi des codes de secours pour une protection supplémentaire.

Quand c'est utile

Quatre situations typiques où un générateur de secret TOTP résout un problème concret :

Construire ta propre appli avec 2FA. Génère un secret par utilisateur, stocke-le côté serveur ; ici tu peux tester le flow avant de brancher une bibliothèque comme otplib/speakeasy.
Migration Google Authenticator → Authy/1Password/Aegis. Import via QR.
Ajout de la 2FA à des outils qui ne la supportent pas nativement (ton propre VPS, services privés via SSH-OTP).
Pédagogie. Vois exactement à quoi ressemble une URI otpauth, quels champs sont requis, comment base32 encode le secret.

Pour les utilisateurs finaux : si un service (Google, GitHub) te génère un QR, tu n'as pas besoin de cet outil, utilise son flow intégré.

Questions et réponses

TOTP (Time-based One-Time Password) : le standard RFC 6238 pour la double authentification. L'appli Authenticator stocke un secret partagé avec le serveur ; toutes les 30 secondes, elle calcule un code à 6 chiffres à partir du secret + de l'heure actuelle. Le serveur fait pareil et compare. Un attaquant qui connaît ton mot de passe mais n'a pas le téléphone Authenticator ne peut pas se connecter.

Comment ajouter la 2FA (Google Authenticator) à mon application ?

Génère un secret TOTP pour la 2FA : une clé aléatoire + un code QR prêt à scanner pour Google Authenticator, Authy, 1Password, Microsoft Authenticator, Aegis.

Le standard RFC 6238 : secret base32 de 160 bits + l'URI standard « otpauth://totp/... » utilisée par toutes les applis 2FA populaires.

Parfait pour ajouter la 2FA à ta propre application, tester des intégrations, migrer la 2FA d'un authentificateur à l'autre.

Comment l'utiliser

« Issuer » = nom de l'application/service (par exemple « MyService », « Banque ABC »). Apparaît comme titre dans l'Authenticator.

« Account » = identifiant utilisateur (par exemple « jean@entreprise.com »). Apparaît sous l'issuer.

Laisse les valeurs par défaut SHA-1, 6 chiffres, 30s, le standard du secteur. Tous les Authenticator populaires le supportent.

Scanne le QR avec l'appli Authenticator sur ton téléphone. Ou copie le secret et tape-le comme « Setup Key ».

Le téléphone commence à afficher des codes à 6 chiffres rafraîchis toutes les 30 s.

Quand c'est utile

Quatre situations typiques où un générateur de secret TOTP résout un problème concret :

Construire ta propre appli avec 2FA. Génère un secret par utilisateur, stocke-le côté serveur ; ici tu peux tester le flow avant de brancher une bibliothèque comme otplib/speakeasy.
Migration Google Authenticator → Authy/1Password/Aegis. Import via QR.
Ajout de la 2FA à des outils qui ne la supportent pas nativement (ton propre VPS, services privés via SSH-OTP).
Pédagogie. Vois exactement à quoi ressemble une URI otpauth, quels champs sont requis, comment base32 encode le secret.

Pour les utilisateurs finaux : si un service (Google, GitHub) te génère un QR, tu n'as pas besoin de cet outil, utilise son flow intégré.

Questions et réponses

Générateur secret TOTP

Comment ajouter la 2FA (Google Authenticator) à mon application ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Codes de sauvegarde 2FA

Générateur de mots de passe

Générateur de codes QR

Générateur secret TOTP

Comment ajouter la 2FA (Google Authenticator) à mon application ?

Comment l'utiliser

Quand c'est utile

Questions et réponses

Outils similaires

Codes de sauvegarde 2FA

Générateur de mots de passe

Générateur de codes QR