Jaka aplikacja na telefonie?

**Wszystkie popularne** zaakceptują nasz QR: - **Google Authenticator**: Android/iOS, free - **Microsoft Authenticator**: free - **Authy**: free, sync między urządzeniami - **1Password**: płatne, integracja z menedżerem - **Bitwarden Authenticator**: open-source - **Aegis**: Android, open-source, najlepszy dla privacy - **Raivo OTP**: iOS, open-source

Czy ten sekret zadziała w mojej aplikacji?

**Tak**, jeśli aplikacja używa standardowej biblioteki TOTP (otplib, speakeasy, twofactor). Przy konfiguracji backendu **używaj sekretu w formie base32** (32 znaki). **Domyślne parametry** (SHA-1, 6 cyfr, 30s) są obsługiwane przez wszystkie biblioteki. Dla SHA-256/512 sprawdź czy serwer wspiera ten algorytm.

Czy sekret wychodzi na serwer?

**Nie**. Generacja sekretu (Web Crypto API), kodowanie base32, generowanie QR (bwip-js w przeglądarce): **wszystko lokalnie**. **DevTools → Network** = brak requestów. Sekret **nigdy nie opuszcza urządzenia**.

SHA-1 vs SHA-256 vs SHA-512?

**SHA-1**: domyślny w RFC 6238, obsługiwany **WSZĘDZIE**. Mimo że SHA-1 jest "kryptograficznie złamany", w kontekście **HMAC w TOTP nie ma to praktycznego znaczenia** (atakujący nie ma czasu na łamanie kolizji). **SHA-256/512**: silniejsze, ale niektóre stare aplikacje 2FA ich nie obsługują. **Zostaw SHA-1**, chyba że specjalnie potrzebujesz mocniejszego.

**Standard = 6 cyfr** (10^6 = 1 mln możliwości). **8 cyfr** = 100 mln, znacznie odporniejsze na zgadywanie. **Ale** większość serwerów TOTP oczekuje **6, nie 8**. Sprawdź dokumentację aplikacji przed zmianą.

Co zrobić gdy stracę telefon z Authenticator-em?

**Jeśli zapisałeś sekret** (paper backup): dodaj go do nowej aplikacji, dostaniesz **te same kody**. **Jeśli NIE**: nie odzyskasz dostępu przez TOTP. Skorzystaj z [backup codes](/pl/generator-kodow-odzyskiwania). **Bez backup codes** pozostaje tylko procedura odzyskiwania konta serwisu (e-mail, SMS, support). **Dlatego**: **zawsze zapisuj sekret + backup codes** RAZ przy konfiguracji 2FA.

Mogę używać sekretu na wielu urządzeniach?

**Tak**. Sekret to klucz, **każde urządzenie z Authenticator-em mającym ten sam sekret** generuje **TE SAME kody**. Możesz mieć Authenticator na telefonie + laptopie + zapisany sekret na papierze. **Wszystkie 3** dadzą Ci ten sam 6-cyfrowy kod o tym samym czasie. **To cecha, nie bug**, daje redundancję na wypadek utraty telefonu.

Generator sekretu TOTP 2FA - darmowy

Kod QR do zeskanowania

Sekret (base32)

-

Wpisz ręcznie, jeśli aplikacja nie czyta QR.

URI otpauth://

Wystawca

Nazwa serwisu pokazana w aplikacji.

Konto

Twój e-mail albo login na liście kont.

Algorytm

Cyfry

Okres

Najbezpieczniejsza kompatybilność: SHA-1, 6 cyfr, 30 s. Niektóre aplikacje nie obsługują SHA-256 ani 8 cyfr.

Sekret losowany lokalnie, nie wysyłany na serwer.

Wygeneruj też kody zapasowe

Jak dodać 2FA (Google Authenticator) do mojej aplikacji?

Generator sekretu TOTP dla 2FA: tworzy losowy klucz + gotowy kod QR do zeskanowania w Google Authenticator, Authy, 1Password, Microsoft Authenticator, Aegis.

Standard RFC 6238: 160-bitowy sekret w base32 + URI w formacie "otpauth://totp/..." używanym przez wszystkie popularne aplikacje 2FA.

Idealny do dodania 2FA do własnej aplikacji, testowania integracji, migracji 2FA między managerami.

Jak korzystać

"Issuer" = nazwa aplikacji/serwisu (np. "MójSerwis", "Bank ABC"). Wyświetla się w Authenticator jako tytuł.

"Account" = identyfikator użytkownika (np. "jan@firma.pl"). Pokazuje się pod issuerem.

Zostaw domyślnie SHA-1, 6 cyfr, 30s, to standard branżowy. Wszystkie popularne Authenticator-y obsługują.

Zeskanuj QR aplikacją Authenticator na telefonie. Albo skopiuj sekret i wpisz ręcznie jako "Setup Key".

Telefon zacznie wyświetlać 6-cyfrowe kody odświeżające się co 30s.

Zapisz sekret w bezpiecznym miejscu (papier, menedżer haseł). Bez tego, jak zgubisz telefon, nie odzyskasz dostępu. Wygeneruj też backup codes jako dodatkową ochronę.

Do czego się przydaje

Cztery typowe sytuacje, w których generator sekretu TOTP rozwiązuje konkretny problem:

Tworzysz własną aplikację z 2FA. Generujesz sekret per-user, zapisujesz po stronie serwera; tu możesz przetestować flow zanim podepniesz bibliotekę typu otplib/speakeasy.
Migracja Google Authenticator → Authy/1Password/Aegis. Importujesz przez QR.
Dodawanie 2FA do narzędzi, które nie wspierają tego natywnie (własny VPS, prywatne serwisy via SSH-OTP).
Edukacja. Zobacz dokładnie jak wygląda otpauth URI, jakie pola są wymagane, jak base32 koduje sekret.

Dla typowego użytkownika: jeśli serwis (Google, GitHub itp.) sam generuje QR, NIE potrzebujesz tego narzędzia, użyj wbudowanego flow.

Pytania i odpowiedzi

TOTP (Time-based One-Time Password): standard RFC 6238 do uwierzytelniania dwuskładnikowego. Aplikacja Authenticator przechowuje współdzielony sekret z serwerem; co 30 sekund liczy 6-cyfrowy kod na podstawie sekretu + aktualnego czasu. Serwer wykonuje to samo obliczenie i porównuje. Atakujący, który zna hasło, ale nie ma telefonu z Authenticator, nie wejdzie.

Jak dodać 2FA (Google Authenticator) do mojej aplikacji?

Generator sekretu TOTP dla 2FA: tworzy losowy klucz + gotowy kod QR do zeskanowania w Google Authenticator, Authy, 1Password, Microsoft Authenticator, Aegis.

Standard RFC 6238: 160-bitowy sekret w base32 + URI w formacie "otpauth://totp/..." używanym przez wszystkie popularne aplikacje 2FA.

Idealny do dodania 2FA do własnej aplikacji, testowania integracji, migracji 2FA między managerami.

Jak korzystać

"Issuer" = nazwa aplikacji/serwisu (np. "MójSerwis", "Bank ABC"). Wyświetla się w Authenticator jako tytuł.

"Account" = identyfikator użytkownika (np. "jan@firma.pl"). Pokazuje się pod issuerem.

Zostaw domyślnie SHA-1, 6 cyfr, 30s, to standard branżowy. Wszystkie popularne Authenticator-y obsługują.

Zeskanuj QR aplikacją Authenticator na telefonie. Albo skopiuj sekret i wpisz ręcznie jako "Setup Key".

Telefon zacznie wyświetlać 6-cyfrowe kody odświeżające się co 30s.

Zapisz sekret w bezpiecznym miejscu (papier, menedżer haseł). Bez tego, jak zgubisz telefon, nie odzyskasz dostępu. Wygeneruj też backup codes jako dodatkową ochronę.

Do czego się przydaje

Cztery typowe sytuacje, w których generator sekretu TOTP rozwiązuje konkretny problem:

Tworzysz własną aplikację z 2FA. Generujesz sekret per-user, zapisujesz po stronie serwera; tu możesz przetestować flow zanim podepniesz bibliotekę typu otplib/speakeasy.
Migracja Google Authenticator → Authy/1Password/Aegis. Importujesz przez QR.
Dodawanie 2FA do narzędzi, które nie wspierają tego natywnie (własny VPS, prywatne serwisy via SSH-OTP).
Edukacja. Zobacz dokładnie jak wygląda otpauth URI, jakie pola są wymagane, jak base32 koduje sekret.

Dla typowego użytkownika: jeśli serwis (Google, GitHub itp.) sam generuje QR, NIE potrzebujesz tego narzędzia, użyj wbudowanego flow.

Pytania i odpowiedzi

Generator sekretu TOTP 2FA

Jak dodać 2FA (Google Authenticator) do mojej aplikacji?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Generator kodów zapasowych 2FA

Generator haseł

Generator kodów QR

Generator sekretu TOTP 2FA

Jak dodać 2FA (Google Authenticator) do mojej aplikacji?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Generator kodów zapasowych 2FA

Generator haseł

Generator kodów QR