2FAPRO.COM

Gerador de Códigos de Autenticação em Dois Fatores (2FA)

Gere códigos TOTP a partir da sua chave secreta para serviços como Google, Facebook, Instagram e outros.

Insira a chave secreta 2FA do serviço que deseja usar. Espaços e formatação serão ajustados automaticamente.

Sua chave secreta nunca é armazenada em nossos servidores - tudo é processado no seu dispositivo.

Escanear QR Code

Compartilhar esta ferramenta

Contas Salvas

Nenhuma Conta Salva

Adicione contas da aba Gerador ou importe de um backup

Chaves Recentes

Nenhum Histórico Ainda

Os códigos gerados aparecerão aqui

Informações & Ajuda

O que é 2FA/TOTP?

Autenticação em Dois Fatores (2FA) é uma camada extra de segurança que exige duas formas de identificação. TOTP é um algoritmo que gera senhas descartáveis que mudam a cada 30 segundos.

Onde Conseguir uma Chave Secreta?

Segurança

Este aplicativo processa sua chave secreta localmente no navegador. Os dados nunca são armazenados em nossos servidores ou enviados a terceiros. Mesmo assim, mantenha sua chave secreta em sigilo.

Serviços Compatíveis

Este gerador funciona com serviços que usam o padrão TOTP, incluindo Google, Facebook, Twitter, Microsoft, GitHub, Dropbox, Amazon e a maioria dos serviços de nuvem e redes sociais.

O Guia Completo da Autenticacao de Dois Fatores (2FA)

Tudo o que voce precisa saber sobre 2FA, codigos TOTP, aplicativos authenticator e como manter suas contas online seguras com autenticacao de dois fatores.

Como Gerar um Codigo 2FA em 3 Passos Simples

  1. 1

    Copie seu Secret Key

    Ao ativar a autenticacao de dois fatores no Google, Facebook, GitHub ou em outro servico, copie o secret key Base32 exibido ao lado do QR code.

  2. 2

    Cole e Gere o TOTP

    Cole o secret key no campo do gerador 2FA acima e clique em Generate Code. Um codigo TOTP fresco de 6 digitos e calculado na hora no seu navegador.

  3. 3

    Use o Codigo 2FA para Fazer Login

    Digite o codigo de verificacao de 6 digitos no formulario de login antes do temporizador de 30 segundos expirar. O codigo e renovado automaticamente a cada novo login.

Servicos e Plataformas Populares Compativeis com Nosso Gerador 2FA

Nosso gerador de codigos 2FA e totalmente compativel com qualquer servico que siga o padrao TOTP RFC 6238. Estas sao as plataformas mais populares onde voce pode usar este authenticator:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

Por que Usar Nosso Gerador 2FA TOTP Gratuito

100% Privado e Local

Toda a geracao do codigo TOTP acontece diretamente no seu navegador. Seu secret key 2FA nunca e enviado a nenhum servidor, mantendo os dados do seu authenticator totalmente privados.

Codigos Instantaneos de 6 Digitos

Gere senhas de uso unico baseadas em tempo instantaneamente com atualizacao automatica de 30 segundos. Funciona como substituto completo do Google Authenticator, Authy e Microsoft Authenticator.

Leitor de QR code Integrado

Escaneie qualquer QR code 2FA com a camera ou faca upload de uma imagem. A ferramenta le a URI otpauth automaticamente, entao voce nao precisa digitar o secret key Base32.

Modos TOTP e HOTP

Alterne entre o algoritmo baseado em tempo (TOTP / RFC 6238) e baseado em contador (HOTP / RFC 4226). Suporta hashes SHA-1, SHA-256 e SHA-512.

Perguntas Frequentes sobre 2FA

O que e 2FA (autenticacao de dois fatores)?
2FA, ou autenticacao de dois fatores, e um metodo de seguranca que exige dois passos de verificacao distintos para acessar uma conta: algo que voce sabe (a senha) e algo que voce tem (um codigo 2FA de um aplicativo authenticator). Mesmo que um hacker roube sua senha, ele nao conseguira entrar sem o codigo 2FA baseado em tempo.
Este gerador 2FA e compativel com o Google Authenticator?
Sim. Nosso gerador 2FA online usa exatamente o mesmo algoritmo TOTP RFC 6238 que o Google Authenticator, Microsoft Authenticator, Authy e 1Password. Os codigos de 6 digitos gerados aqui corresponderao aos desses aplicativos para o mesmo secret key.
Por que meu codigo 2FA muda a cada 30 segundos?
Os codigos TOTP sao senhas de uso unico baseadas em tempo, derivadas do timestamp Unix atual e do seu secret key, girando em intervalos fixos (normalmente 30 segundos). Essa vida util curta impede ataques de replay e mantem a autenticacao de dois fatores segura.
E seguro inserir meu secret key 2FA neste site?
Sim. Toda a geracao do codigo 2FA acontece localmente no seu navegador usando a Web Crypto API. O secret key nunca sai do seu dispositivo e nunca e enviado a nenhum servidor. Para maxima seguranca, continue tratando o secret key como uma senha e nao o compartilhe.
Qual a diferenca entre TOTP e HOTP?
TOTP (Time-based One-Time Password, RFC 6238) gera codigos com base na hora atual, por isso os codigos mudam a cada 30 segundos. HOTP (HMAC-based One-Time Password, RFC 4226) usa um contador incremental. Ambos sao tipos de codigo 2FA; o TOTP e de longe o mais comum hoje.
Posso usar isto como meu aplicativo authenticator principal?
Sim. Voce pode armazenar varias contas 2FA na aba My Accounts com armazenamento local criptografado, exportar backups criptografados e restaurar em outro dispositivo. A ferramenta funciona como um progressive web app (PWA), entao pode ser instalada como um authenticator nativo.
E se meu codigo 2FA for rejeitado pelo site?
Um codigo 2FA incorreto geralmente significa que o relogio do seu dispositivo esta fora de sincronia, ou que o secret key foi copiado errado. Confirme que o secret Base32 nao tem espacos a mais, que a hora do sistema e definida automaticamente, e tente o proximo codigo apos o refresh de 30 segundos.
Esta ferramenta 2FA funciona offline?
Sim. Apos a primeira visita, o authenticator fica em cache pelo service worker, permitindo gerar codigos TOTP sem conexao com a internet. Ideal para viagens ou quando seu aplicativo authenticator principal nao esta disponivel.

Por que a Autenticacao de Dois Fatores Importa em 2026

Somente senhas ja nao sao suficientes. Bilhoes de credenciais vazam em breaches de dados todo ano, e kits de phishing avancados podem driblar ate senhas complexas. A autenticacao de dois fatores, tambem chamada de 2FA, multi-factor authentication (MFA) ou verificacao em duas etapas, adiciona uma segunda camada que nao e facil de contornar por atacantes remotos.

Um authenticator TOTP como este e o metodo 2FA com maior suporte, funcionando no Google, Microsoft, Apple ID, GitHub, Facebook, Instagram, Snapchat, TikTok, Steam, Epic Games, Fortnite, Discord e em quase todos os grandes servicos online. Com um codigo 2FA fresco de 6 digitos girando a cada 30 segundos, uma senha vazada fica inutil sozinha.

Ative 2FA sempre que possivel: e-mail, redes sociais, crypto exchanges, armazenamento em nuvem, bancos e contas de gaming. Combinada com um password manager forte e senhas unicas por site, uma configuracao correta de autenticacao de dois fatores e um dos maiores upgrades que voce pode fazer na sua seguranca online.

Comparacao de Tipos de Metodos 2FA: SMS, TOTP, Hardware Key, Biometria

Existem varios tipos de autenticacao de dois fatores disponiveis hoje, cada um com niveis diferentes de seguranca e conveniencia. Entender essas opcoes ajuda voce a escolher o metodo 2FA certo para cada conta, desde um login casual de gaming ate contas de banco e de crypto de alto valor. Abaixo comparamos honestamente cada forma principal de 2FA que voce encontrara em 2026, com pros, contras e nossas recomendacoes.

Metodo 2FA Segurança Conveniencia Ideal Para
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA e a forma mais comum de autenticacao de dois fatores porque funciona em qualquer celular. Apos inserir sua senha, uma mensagem de texto com um codigo de verificacao de 6 digitos e enviada para o seu numero. Embora seja conveniente, o SMS 2FA e vulneravel a ataques de SIM swapping, nos quais criminosos enganam a operadora para transferir seu numero para o dispositivo deles. O NIST ja desaconselha o SMS como metodo 2FA seguro para contas de alto valor, e grandes bancos recomendam cada vez mais a migracao para aplicativos authenticator TOTP.

Authenticator apps (TOTP) como Google Authenticator, Microsoft Authenticator, Authy e 1Password, geram senhas de uso unico baseadas em tempo diretamente no seu dispositivo sem precisar de conexao de rede. Isso torna o TOTP 2FA mais rapido, mais seguro e imune a ataques de SIM swap. Os codigos giram a cada 30 segundos com base no padrao RFC 6238, e o mesmo secret key funciona em todos os authenticators compativeis, incluindo este gerador baseado em navegador.

Hardware security keys como YubiKey, Google Titan, SoloKeys e Feitian, usam os padroes FIDO2 / WebAuthn para comprovar posse fisica via dispositivo USB, NFC ou Bluetooth. Hardware keys sao o gold standard da seguranca 2FA porque resistem a phishing, uma pagina de login falsa nao consegue colher a assinatura criptografica, diferente dos codigos TOTP. Use uma hardware key para suas contas mais criticas: e-mail principal, password manager, crypto exchange e identidade de trabalho.

Push notification 2FA aplicativos como Duo Mobile, os push prompts do Microsoft Authenticator e o Okta Verify enviam um toque de confirmacao para o seu telefone. E mais conveniente do que digitar um codigo 2FA de 6 digitos, mas depende do suporte do servico e e vulneravel a ataques de \"MFA fatigue\", nos quais criminosos bombardeiam pedidos de aprovacao esperando que voce toque em Approve por descuido.

Biometric 2FA and passkeys usa impressoes digitais ou reconhecimento facial, muitas vezes combinado com passkeys vinculadas ao dispositivo. Apple Face ID, Windows Hello e os leitores de digital do Android sao cada vez mais usados como segundo fator em dispositivos ja logados. Passkeys baseadas em FIDO2 / WebAuthn estao substituindo gradualmente senhas e TOTP 2FA no Google, Apple, Microsoft, GitHub e em uma lista crescente de servicos, sao o futuro da autenticacao.

Nossa recomendacao: use um aplicativo authenticator TOTP como seu metodo 2FA principal, complementado por uma hardware security key para as contas mais criticas (e-mail principal, password manager, crypto, identidade de trabalho). Evite o SMS 2FA quando possivel e sempre guarde os backup codes offline em um lugar seguro.

Como Ativar 2FA em Servicos Populares (Passo a Passo)

Configurar a autenticacao de dois fatores varia um pouco entre plataformas, mas o fluxo principal e o mesmo em todos os grandes servicos. Abaixo estao guias rapidos passo a passo para ativar 2FA nas plataformas mais populares, todas funcionam sem atrito com este gerador TOTP.

Ative 2FA no Google / Gmail

Acesse myaccount.google.com, depois Security, 2-Step Verification, Get Started. Faca login com sua senha e escolha Authenticator app. O Google exibe um QR code, escaneie com nosso gerador TOTP ou cole o secret key Base32. O Google tambem suporta notificacoes Google Prompt e hardware security keys como metodos 2FA adicionais para sua conta Gmail e Google.

Ative 2FA no Facebook / Meta

Clique na sua foto de perfil do Facebook, abra Settings and Privacy, Settings, Accounts Center, Password and security, Two-factor authentication. Escolha Authentication app e escaneie o QR code ou copie o secret key para o nosso gerador de codigos 2FA. O Facebook permite SMS como backup, mas a 2FA por aplicativo authenticator e altamente recomendada para mais seguranca.

Ative 2FA no Discord

Abra o Discord, User Settings (icone de engrenagem), My Account, Enable Two-Factor Auth. Digite a senha e use o QR code exibido ou a key Base32 manual com nosso gerador de codigos 2FA. Sempre salve os backup codes do Discord imediatamente, se voce perder acesso ao authenticator, o Discord precisa deles para recuperar a conta.

Ative 2FA no GitHub

Va em Settings, Password and authentication, Two-factor authentication, Enable. Escolha Set up using an app para gerar codigos TOTP com nossa ferramenta 2FA ou qualquer authenticator RFC 6238. O GitHub tambem suporta FIDO2 security keys como fator adicional e exige 2FA para todos os contributors em repositorios sensiveis.

Ative 2FA na Microsoft / Outlook

Acesse account.microsoft.com, Security, Advanced security options, Two-step verification, Turn on. A Microsoft prefere seu proprio aplicativo Microsoft Authenticator, mas qualquer gerador TOTP RFC 6238, incluindo o nosso, funciona de forma identica. A mesma configuracao 2FA cobre Outlook, Xbox, Microsoft 365, Teams, OneDrive e todos os outros servicos da Microsoft.

Ative 2FA no Fortnite / Epic Games

Acesse epicgames.com, depois account, password-and-security, Two-factor authentication, Enable Authenticator App. Escaneie o QR code com nosso gerador 2FA. Ativar 2FA no Fortnite tambem concede a recompensa do emote Boogiedown e melhora a seguranca das suas contas Rocket League e Epic Games Store.

Ative 2FA na Binance / Coinbase / Kraken

Cada grande crypto exchange, Binance, Coinbase, Kraken, Gemini, KuCoin, Bitstamp, exige 2FA para saques. Ative a compatibilidade com o Google Authenticator na aba security de cada exchange e guarde o secret key em seu password manager. Perder o acesso 2FA a uma conta de crypto sem backup codes pode te bloquear permanentemente dos seus fundos.

Ative 2FA no Instagram / TikTok / Snapchat

Instagram, TikTok e Snapchat suportam 2FA por aplicativo authenticator pelo menu Settings, Security. Cada app gera um QR code compativel com qualquer ferramenta TOTP RFC 6238. Dado o quanto contas em redes sociais sao alvo de roubo e revenda, ativar a autenticacao de dois fatores em todas as suas contas em redes sociais e obrigatorio em 2026.

Depois de ativar o 2FA em qualquer servico, teste imediatamente saindo e entrando de novo, antes de precisar de verdade. Isso garante que os codigos do authenticator funcionam corretamente e que voce guardou os recovery backup codes com seguranca.

Boas Praticas de Seguranca 2FA que Todo Usuario Deve Seguir

Ativar a autenticacao de dois fatores e apenas metade do trabalho. Seguir estas boas praticas mantem sua configuracao 2FA segura contra ameacas modernas que miram aplicativos authenticator, codigos SMS e fluxos de recuperacao. Adotar mesmo metade das praticas abaixo ja te coloca a frente de 95% dos usuarios em higiene 2FA.

  • Sempre salve seus backup codes. Todo servico que suporta 2FA gera de 8 a 10 recovery codes de uso unico quando voce ativa o authenticator. Imprima-os, guarde no seu password manager ou armazene em notas criptografadas. Sem backup codes, perder o celular pode significar perder a conta para sempre, nenhum customer support consegue recuperar uma conta 2FA bem protegida sem provas de identidade.
  • Use varios dispositivos authenticator. Exporte um backup 2FA desta ferramenta e importe em um segundo dispositivo, ou use Authy / 1Password, que sincronizam secrets TOTP entre dispositivos de forma nativa. O Google Authenticator agora tem uma funcao oficial de exportacao por QR. Ter um segundo dispositivo significa que perder ou quebrar um celular nao te desconecta de todas as contas 2FA no pior momento.
  • Fique atento a ataques de MFA fatigue. Um atacante que conhece sua senha pode te bombardear com pedidos 2FA por notificacao push esperando que voce toque em Approve por habito ou irritacao. Isso foi usado em vazamentos de alto perfil como o da Uber. Sempre verifique qual app esta pedindo confirmacao e rejeite prompts inesperados, um login legitimo raramente dispara pedido 2FA no meio da madrugada sem motivo.
  • Proteja-se contra SIM swapping. Mesmo que voce evite SMS 2FA, o numero de celular costuma estar vinculado a fluxos de recuperacao de conta. Peca a sua operadora para adicionar um PIN ou protecao anti port-out a sua conta para que criminosos nao consigam transferir seu SIM para o dispositivo deles. So essa mudanca ja bloqueia a maioria dos ataques de SIM swap e e gratuita em todas as grandes operadoras.
  • Combine 2FA com um password manager. Senhas fortes e unicas por site mais TOTP 2FA mais uma hardware security key para contas criticas sao o gold standard de seguranca de contas em 2026. 1Password, Bitwarden, LastPass e KeePass podem armazenar os secrets TOTP junto com as senhas, alguns ate autopreenchem os dois campos ao mesmo tempo para um login sem atritos.
  • Nunca compartilhe codigos 2FA, nem com o suporte. Nenhuma empresa legitima, banco ou plataforma online vai te pedir para ler em voz alta um codigo 2FA de 6 digitos, digitar em um chat ou enviar por e-mail. Se alguem pedir, seja dizendo ser suporte tecnico, seu banco ou um entregador, e golpe. Desligue e entre em contato com a empresa pelo numero oficial ou site direto.
  • Audite sua configuracao 2FA anualmente. Mantenha uma lista de cada conta em que voce ativou autenticacao de dois fatores. Remova 2FA de contas sem uso, ative em contas novas e verifique se os backup codes ainda funcionam. Uma auditoria 2FA anual detecta e-mails de recuperacao desatualizados, numeros antigos de celular e seeds de authenticator esquecidas.
  • Migre para passkeys quando estiverem disponiveis. Passkeys FIDO2 / WebAuthn estao substituindo gradualmente senhas e TOTP 2FA no Google, Apple, Microsoft, GitHub, PayPal e em centenas de outros servicos. Passkeys sao resistentes a phishing por design e vinculadas ao secure enclave do dispositivo, quando um site oferecer passkey, ative em vez de depender apenas de codigos 2FA.

Solucao de Problemas Comuns de 2FA

Mesmo uma configuracao bem montada de autenticacao de dois fatores pode ter problemas. Estes sao os problemas 2FA mais frequentes entre os usuarios e as solucoes praticas que resolvem a maior parte sem precisar contatar o suporte.

\"Invalid 2FA code\" ou \"Codigo de verificacao incorreto\"

A causa mais comum e um relogio do dispositivo fora de sincronia. O TOTP depende de hora precisa, um desvio de apenas 30 segundos ja faz os codigos nao baterem. No Android: Settings, System, Date and time, Set time automatically. No iOS: Settings, General, Date and Time, Set Automatically. No Windows: Settings, Time and language, Date and time, Set time automatically. Servidores normalmente aceitam codigos dentro de uma janela de mais ou menos 1, entao testar o proximo codigo apos o refresh de 30 segundos costuma funcionar.

Digitacao errada do secret key ao inserir a mao

Base32 usa apenas A ate Z e 2 ate 7, nao ha 0, 1, 8 nem 9. Caracteres ambiguos como O vs 0 ou I vs 1 quebram tudo. Copie o secret key direto do QR code do servico em vez de digitar, ou use nosso QR scanner integrado. Muitos servicos tambem permitem exibir o secret em texto simples ao lado do QR code para facilitar a entrada manual.

Perdeu o celular com o aplicativo authenticator

Primeiro, tente os backup codes, a maioria dos servicos pede um quando voce nao consegue acessar o authenticator 2FA. Se voce ja tinha exportado ou sincronizado os secrets TOTP, restaure no novo dispositivo. Como ultimo recurso, contate o time de suporte do servico e siga o fluxo de recuperacao de conta deles, que normalmente envolve verificacao com documento oficial ou confirmacao de outros secrets. Nunca pague servicos de 2FA recovery de terceiros, sao golpe.

O QR code nao pode ser escaneado

Iluminacao, foco da camera e reflexos na tela sao causas comuns. Tente baixar o QR como arquivo de imagem e envie ao nosso image scanner, ou insira manualmente o secret key Base32 exibido. Confirme que nenhuma extensao do navegador esta modificando a exibicao do QR.

Conta totalmente bloqueada pelo 2FA

A maioria dos servicos permite verificar identidade com documento oficial, ultimos 4 digitos de cartao de credito, e-mail de recuperacao ou contatos confiaveis. Logins sociais (Google, Apple, Microsoft) frequentemente conseguem desbloquear via o 2FA da conta-pai. Crypto exchanges sao os mais rigidos, prepare-se para um processo KYC de varios dias. Documente sua identidade corretamente e siga o fluxo oficial de recuperacao de cada servico.

As notificacoes push nao chegam

Confirme que o aplicativo authenticator tem permissao de notificacao, que a otimizacao de bateria esta desativada especificamente para ele, e que o dispositivo tem internet ativa. No Android, alguns battery savers agressivos matam servicos em segundo plano do authenticator, whitelist as suas apps 2FA. Reiniciar o app geralmente atualiza o token push.

Como o TOTP Funciona por Dentro (Technical Deep Dive)

Para os tecnicamente curiosos, aqui vai passo a passo como um codigo 2FA TOTP e gerado, seguindo o RFC 6238, o mesmo algoritmo que nosso gerador 2FA usa internamente, e o mesmo algoritmo que Google Authenticator, Microsoft Authenticator, Authy e todos os outros authenticators compativeis seguem.

  1. 1. Shared secret. Quando voce ativa 2FA num servico, tanto o servidor quanto seu aplicativo authenticator concordam com um secret key aleatorio, normalmente de 160 bits (20 bytes) codificado em Base32 para apresentacao legivel por humanos. Esse shared secret nunca sai dos dois lados em operacao normal.
  2. 2. Time counter. Pegue o timestamp Unix atual, divida por 30, aplique floor no resultado. Isso gera um contador inteiro que incrementa nos dois lados a cada 30 segundos. Usar o tempo como contador significa que nao e preciso sincronizar estado entre servidor e authenticator, os dois lados calculam o mesmo valor de forma independente.
  3. 3. HMAC-SHA1. Calcule o hash HMAC-SHA1 usando o shared secret como key e o contador de 8 bytes big-endian como mensagem. A saida e um hash criptografico de 20 bytes. Implementacoes modernas tambem suportam HMAC-SHA256 e HMAC-SHA512 para um 2FA mais forte quando os dois lados concordam com o algoritmo.
  4. 4. Dynamic truncation. Pegue o ultimo byte do hash, aplique um mask de 4 bits baixos para obter um offset (0 a 15). Extraia 4 bytes a partir desse offset no hash, limpe o high bit e trate o resultado como inteiro de 32 bits. E o algoritmo de dynamic truncation do RFC 4226 (HOTP) em cima do qual o TOTP e construido.
  5. 5. Modulo para os digitos. Calcule o inteiro de 32 bits modulo 10 elevado aos digitos, normalmente 10 elevado a 6 para o codigo 2FA padrao de 6 digitos, ou 10 elevado a 8 para alguns servicos bancarios. Preencha com zeros a esquerda se necessario, para que valores baixos como 7 virem 000007 e nao um codigo parcial.

O resultado e um codigo de verificacao de 6 digitos calculado de forma identica pelo authenticator e pelo servidor. Quando voce digita o codigo ao fazer login, o servidor calcula o codigo esperado para a janela de tempo atual e compara. Como o HMAC e resistente a colisoes, apenas quem possui o shared secret consegue produzir um codigo TOTP valido, essa e a matematica criptografica por tras da seguranca 2FA moderna. Em nossa implementacao, todo esse calculo acontece no lado do cliente usando a Web Crypto API do navegador, entao seu secret key nunca toca um servidor e os codigos que geramos batem exatamente com os do Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden e qualquer authenticator em conformidade com o RFC 6238.

Glossario de Autenticacao de Dois Fatores

Uma referencia rapida para a terminologia mais comum de autenticacao de dois fatores que voce vai encontrar ao ativar 2FA em varios servicos.

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.