Question 1

¿Cuál es la diferencia entre TOTP y HOTP?

Accepted Answer

TOTP (OTP basado en tiempo) genera un nuevo código de 6 dígitos cada 30 segundos usando la marca de tiempo actual como entrada — esto es lo que usan las aplicaciones autenticadoras como Google Authenticator. HOTP (OTP basado en HMAC) genera códigos basados en un valor de contador que se incrementa con cada uso, haciendo que cada código sea válido hasta que se use en lugar de expirar por tiempo.

Question 2

¿Es seguro generar OTPs en el navegador?

Accepted Answer

Esta herramienta usa la Web Crypto API con HMAC-SHA1 completamente en tu navegador — tu clave secreta nunca sale de tu dispositivo. Sin embargo, almacenar la clave secreta en una herramienta de navegador es menos seguro que una aplicación autenticadora dedicada (como Authy o Google Authenticator) que almacena los secretos en almacenamiento de aplicación protegido, a veces con bloqueo biométrico.

Question 3

¿En qué formato debe estar la clave secreta?

Accepted Answer

La clave secreta debe estar en codificación Base32 — usando los caracteres A-Z y 2-7, con caracteres de relleno opcionales `=`. La mayoría de los códigos QR de configuración 2FA codifican el secreto en Base32 dentro de un URI otpauth://. Las longitudes típicas de secreto son 16 o 32 caracteres (80 o 160 bits).

Question 4

¿Por qué TOTP tiene una ventana de 30 segundos?

Accepted Answer

RFC 6238 define el paso de tiempo predeterminado como 30 segundos como equilibrio entre usabilidad (tiempo suficiente para leer y escribir el código) y seguridad (lo suficientemente corto para que un código robado no pueda usarse por mucho tiempo). La mayoría de los servidores también aceptan códigos de las ventanas de tiempo adyacentes (±30 s) para permitir una ligera deriva del reloj.

Question 5

¿Para qué se usa un URI otpauth://?

Accepted Answer

Un URI otpauth:// codifica todos los parámetros necesarios para agregar una cuenta a una aplicación autenticadora — el tipo (totp/hotp), el emisor, el nombre de cuenta, el secreto, el algoritmo, el número de dígitos y el período. Cuando este URI se codifica como un código QR, las aplicaciones autenticadoras pueden escanearlo para configurarse automáticamente.

Generador de OTP

Preguntas Frecuentes

Comments & Feedback