Nexkits Nexkits Wiki
返回 Wiki 安全登录 · 术语解释

TOTP / 2FA 是什么

2FA 是二次验证,TOTP 是最常见的一种验证码生成方式。你在登录网站时看到的 6 位动态验证码,大多数就是根据 Secret 和当前时间计算出来的。

一句话解释

TOTP 会把一段密钥 Secret 和当前时间放在一起计算,生成一个短时间内有效的验证码。

什么时候会遇到

  • 登录 GitHub、Google、Cloudflare、服务器面板或后台系统时,需要输入验证器里的 6 位验证码。
  • 迁移手机、备份 2FA Secret、调试登录流程时,需要确认 Secret 是否能生成正确验证码。
  • 看到 otpauth://totp/... 链接或二维码时,它通常包含账号、发行方、Secret、算法和刷新周期。

大概怎么工作

网站先给你一段 Secret。验证器 App 保存这段 Secret,但不会每次向网站请求验证码。

生成验证码时,验证器会把 Secret、当前时间片段、算法、位数和周期放在一起计算,得到当前有效的数字码。

网站服务端也保存同一段 Secret,并用同样规则计算验证码。如果两边结果一致,就说明你拥有这段 Secret。

示例

常见 otpauth 链接

验证器二维码里经常包含类似这样的内容。

otpauth://totp/Nexkits:user@example.com?secret=JBSWY3DPEHPK3PXP&issuer=Nexkits

常见误区

  • TOTP Secret 不应该发给别人,也不要放在公开截图、聊天记录或工单里。
  • 验证码错误不一定是 Secret 错了,也可能是设备时间不准,或网站使用了不同的周期、位数、算法。
  • 2FA 不是万能安全措施。密码、恢复码、邮箱和设备安全仍然很重要。

常见问题

TOTP 和 2FA 是一回事吗?

不是。2FA 是二次验证的统称,TOTP 是其中一种常见实现方式。短信、邮件、硬件密钥也可能属于 2FA。

为什么验证码通常每 30 秒变化一次?

TOTP 会按时间片段计算验证码。30 秒是最常见的周期,但有些系统可能使用 60 秒或其他配置。

Secret 泄露后会怎样?

别人拿到 Secret 后,也可以生成你的动态验证码。遇到这种情况应尽快在对应网站重新绑定二次验证。

验证码一直不对怎么办?

先检查设备时间是否准确,再确认 Secret、位数、周期和算法是否和网站要求一致。