2FAPRO.COM

Generador de códigos de autenticación en dos pasos (2FA)

Genera códigos TOTP con tu clave secreta para servicios como Google, Facebook, Instagram y otros.

Introduce la clave secreta 2FA del servicio que quieras usar. Los espacios y formato se limpiarán automáticamente.

Tu clave secreta nunca se guarda en nuestros servidores y solo se procesa en tu dispositivo.

Escanear código QR

Compartir esta herramienta

Cuentas guardadas

No hay cuentas guardadas

Añade cuentas desde la pestaña Generador o importa desde copia de seguridad

Claves recientes

Aún no hay historial

Los códigos generados aparecerán aquí

Información y ayuda

¿Qué es 2FA/TOTP?

La autenticación en dos pasos (2FA) añade una capa extra de seguridad que requiere dos formas de identificación. TOTP es un algoritmo que genera contraseñas temporales que cambian cada 30 segundos.

¿Dónde conseguir una clave secreta?

Seguridad

Esta aplicación procesa tu clave secreta localmente en tu navegador. Los datos nunca se guardan en servidores ni se envían a terceros. Aún así, mantén siempre tu clave secreta confidencial.

Servicios compatibles

Este generador funciona con servicios que usen el estándar TOTP, incluyendo Google, Facebook, Twitter, Microsoft, GitHub, Dropbox, Amazon y la mayoría de servicios en la nube y redes sociales.

La Guia Completa de la Autenticacion de Dos Factores (2FA)

Todo lo que necesitas saber sobre 2FA, codigos TOTP, aplicaciones authenticator y como mantener seguras tus cuentas online con autenticacion de dos factores.

Como Generar un Codigo 2FA en 3 Pasos Sencillos

  1. 1

    Copia tu Secret Key

    Cuando actives la autenticacion de dos factores en Google, Facebook, GitHub u otro servicio, copia el secret key Base32 que se muestra junto al codigo QR.

  2. 2

    Pega y Genera el TOTP

    Pega el secret key en el campo del generador 2FA de arriba y haz clic en Generate Code. Un codigo TOTP fresco de 6 digitos se calcula al instante en tu navegador.

  3. 3

    Usa el Codigo 2FA para Iniciar Sesion

    Introduce el codigo de verificacion de 6 digitos en el formulario de login antes de que expire el temporizador de 30 segundos. El codigo se renueva automaticamente con cada inicio de sesion.

Servicios y Plataformas Populares Compatibles con Nuestro Generador 2FA

Nuestro generador de codigos 2FA es totalmente compatible con cualquier servicio que siga el estandar TOTP RFC 6238. Estas son las plataformas mas populares donde puedes utilizar este authenticator:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

Por que Usar Nuestro Generador 2FA TOTP Gratuito

100% Privado y Local

Toda la generacion del codigo TOTP ocurre directamente en tu navegador. Tu secret key 2FA nunca se envia a ningun servidor, manteniendo los datos de tu authenticator totalmente privados.

Codigos Instantaneos de 6 Digitos

Genera contrasenas de un solo uso basadas en el tiempo al instante, con actualizacion automatica cada 30 segundos. Funciona como sustituto completo de Google Authenticator, Authy y Microsoft Authenticator.

Escaner de QR code Integrado

Escanea cualquier QR code 2FA con la camara o sube una imagen. La herramienta lee la URI otpauth automaticamente, asi que no necesitas teclear el secret key Base32.

Modos TOTP y HOTP

Alterna entre el algoritmo basado en tiempo (TOTP / RFC 6238) y basado en contador (HOTP / RFC 4226). Soporta hashes SHA-1, SHA-256 y SHA-512.

Preguntas Frecuentes sobre 2FA

Que es 2FA (autenticacion de dos factores)?
2FA, o autenticacion de dos factores, es un metodo de seguridad que requiere dos pasos de verificacion distintos para acceder a una cuenta: algo que sabes (la contrasena) y algo que posees (un codigo 2FA de una aplicacion authenticator). Aunque un atacante robe tu contrasena, no podra iniciar sesion sin el codigo 2FA basado en tiempo.
Es compatible este generador 2FA con Google Authenticator?
Si. Nuestro generador 2FA online utiliza exactamente el mismo algoritmo TOTP RFC 6238 que Google Authenticator, Microsoft Authenticator, Authy y 1Password. Los codigos de 6 digitos generados aqui coincidiran con los de esas aplicaciones para el mismo secret key.
Por que mi codigo 2FA cambia cada 30 segundos?
Los codigos TOTP son contrasenas de un solo uso basadas en tiempo, derivadas del timestamp Unix actual y tu secret key, rotando en intervalos fijos (normalmente 30 segundos). Esta corta vida util impide ataques de replay y mantiene segura la autenticacion de dos factores.
Es seguro introducir mi secret key 2FA en este sitio web?
Si. Toda la generacion del codigo 2FA ocurre localmente en tu navegador utilizando la Web Crypto API. El secret key nunca sale de tu dispositivo ni se envia a ningun servidor. Para maxima seguridad, sigue tratando el secret key como una contrasena y no lo compartas.
Cual es la diferencia entre TOTP y HOTP?
TOTP (Time-based One-Time Password, RFC 6238) genera codigos basados en la hora actual, por eso cambian cada 30 segundos. HOTP (HMAC-based One-Time Password, RFC 4226) usa un contador incremental. Ambos son tipos de codigo 2FA; TOTP es con diferencia el mas comun hoy en dia.
Puedo usar esto como mi aplicacion authenticator principal?
Si. Puedes guardar varias cuentas 2FA en la pestana My Accounts con almacenamiento local cifrado, exportar backups cifrados y restaurar en otro dispositivo. La herramienta funciona como progressive web app (PWA), asi que puedes instalarla como un authenticator nativo.
Que pasa si mi codigo 2FA es rechazado por el sitio web?
Un codigo 2FA incorrecto suele significar que el reloj de tu dispositivo no esta sincronizado, o que el secret key se copio mal. Asegurate de que el secret Base32 no tenga espacios de mas, que la hora del sistema se configure automaticamente, y prueba el siguiente codigo tras el refresco de 30 segundos.
Funciona esta herramienta 2FA sin conexion?
Si. Tras la primera visita, el authenticator queda cacheado por el service worker, permitiendote generar codigos TOTP sin conexion a internet. Ideal para viajes o cuando tu aplicacion authenticator principal no esta disponible.

Por que Importa la Autenticacion de Dos Factores en 2026

Las contrasenas por si solas ya no son suficientes. Cada ano se filtran miles de millones de credenciales en brechas de datos, y los kits de phishing avanzados pueden vencer incluso a contrasenas complejas. La autenticacion de dos factores, tambien llamada 2FA, multi-factor authentication (MFA) o verificacion en dos pasos, anade una segunda capa que no es facil de saltar por atacantes remotos.

Un authenticator TOTP como este es el metodo 2FA con mayor soporte, funcionando en Google, Microsoft, Apple ID, GitHub, Facebook, Instagram, Snapchat, TikTok, Steam, Epic Games, Fortnite, Discord y casi todos los grandes servicios online. Con un codigo 2FA fresco de 6 digitos rotando cada 30 segundos, una contrasena filtrada queda inservible por si sola.

Activa 2FA donde sea posible: correo, redes sociales, crypto exchanges, almacenamiento en la nube, banca y cuentas de gaming. Combinado con un password manager robusto y contrasenas unicas por sitio, una configuracion correcta de autenticacion de dos factores es una de las mayores mejoras que puedes aplicar a tu seguridad online.

Comparacion de Tipos de Metodos 2FA: SMS, TOTP, Hardware Key, Biometria

Hoy existen varios tipos de autenticacion de dos factores, cada uno con distintos niveles de seguridad y comodidad. Entender estas opciones te ayuda a elegir el metodo 2FA adecuado para cada cuenta, desde un login de gaming casual hasta cuentas bancarias y de crypto de alto valor. A continuacion comparamos honestamente cada forma principal de 2FA que encontraras en 2026, con pros, contras y nuestras recomendaciones.

Metodo 2FA Seguridad Comodidad Ideal Para
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA es la forma mas comun de autenticacion de dos factores porque funciona con cualquier telefono movil. Tras introducir tu contrasena, se envia un SMS con un codigo de verificacion de 6 digitos a tu numero. Aunque es comodo, el SMS 2FA es vulnerable a ataques de SIM swapping, en los que los delincuentes enganan al operador para trasladar tu numero a su dispositivo. NIST ya desaconseja el SMS como metodo 2FA seguro para cuentas de alto valor, y los grandes bancos recomiendan cada vez mas migrar a aplicaciones authenticator TOTP.

Authenticator apps (TOTP) como Google Authenticator, Microsoft Authenticator, Authy y 1Password, generan contrasenas de un solo uso basadas en tiempo directamente en tu dispositivo sin necesidad de conexion de red. Esto hace que TOTP 2FA sea mas rapido, mas seguro e inmune a los ataques de SIM swap. Los codigos rotan cada 30 segundos segun el estandar RFC 6238, y el mismo secret key funciona en todos los authenticators compatibles, incluido este generador basado en navegador.

Hardware security keys como YubiKey, Google Titan, SoloKeys y Feitian, usan los estandares FIDO2 / WebAuthn para demostrar la posesion fisica mediante un dispositivo USB, NFC o Bluetooth. Las hardware keys son el gold standard de la seguridad 2FA porque resisten el phishing, una pagina de login falsa no puede cosechar la firma criptografica, a diferencia de los codigos TOTP. Usa una hardware key para tus cuentas mas criticas: correo principal, password manager, crypto exchange e identidad laboral.

Push notification 2FA aplicaciones como Duo Mobile, los push prompts de Microsoft Authenticator y Okta Verify envian un toque de confirmacion a tu telefono. Es mas comodo que teclear un codigo 2FA de 6 digitos, pero requiere soporte del servicio y es vulnerable a ataques de \"MFA fatigue\", en los que los delincuentes saturan de solicitudes esperando que pulses Approve por descuido.

Biometric 2FA and passkeys usa huellas dactilares o reconocimiento facial, a menudo combinado con passkeys vinculados al dispositivo. Apple Face ID, Windows Hello y los lectores de huella de Android se usan cada vez mas como segundo factor en dispositivos ya logueados. Los passkeys basados en FIDO2 / WebAuthn estan sustituyendo poco a poco a las contrasenas y al TOTP 2FA en Google, Apple, Microsoft, GitHub y una lista creciente de servicios, son el futuro de la autenticacion.

Nuestra recomendacion: utiliza una aplicacion authenticator TOTP como metodo 2FA principal, apoyada con una hardware security key para tus cuentas mas criticas (correo principal, password manager, crypto, identidad laboral). Evita el SMS 2FA si es posible y guarda siempre los backup codes offline en un lugar seguro.

Como Activar 2FA en Servicios Populares (Paso a Paso)

Configurar la autenticacion de dos factores varia ligeramente entre plataformas, pero el flujo principal es el mismo en todos los grandes servicios. A continuacion tienes guias rapidas paso a paso para activar 2FA en las plataformas mas populares, todas funcionan sin fricciones con este generador TOTP.

Activa 2FA en Google / Gmail

Visita myaccount.google.com, luego Security, 2-Step Verification, Get Started. Inicia sesion con tu contrasena y elige Authenticator app. Google muestra un QR code, escanealo con nuestro generador TOTP o pega el secret key Base32. Google tambien admite notificaciones Google Prompt y hardware security keys como metodos 2FA adicionales para tu cuenta de Gmail y Google.

Activa 2FA en Facebook / Meta

Haz clic en tu foto de perfil de Facebook, abre Settings and Privacy, Settings, Accounts Center, Password and security, Two-factor authentication. Elige Authentication app y escanea el QR code o copia el secret key a nuestro generador de codigos 2FA. Facebook permite el SMS como respaldo, pero se recomienda encarecidamente la 2FA por aplicacion authenticator para una mayor seguridad.

Activa 2FA en Discord

Abre Discord, User Settings (icono del engranaje), My Account, Enable Two-Factor Auth. Introduce tu contrasena y utiliza el QR code que aparece o la key Base32 manual con nuestro generador de codigos 2FA. Guarda siempre los backup codes de Discord de inmediato, si pierdes el acceso a tu authenticator, Discord los necesita para recuperar la cuenta.

Activa 2FA en GitHub

Ve a Settings, Password and authentication, Two-factor authentication, Enable. Elige Set up using an app para generar codigos TOTP con nuestra herramienta 2FA o cualquier authenticator RFC 6238. GitHub tambien admite FIDO2 security keys como factor adicional y requiere 2FA para todos los contributors en repositorios sensibles.

Activa 2FA en Microsoft / Outlook

Visita account.microsoft.com, Security, Advanced security options, Two-step verification, Turn on. Microsoft prefiere su propia aplicacion Microsoft Authenticator, pero cualquier generador TOTP RFC 6238, incluido el nuestro, funciona de manera identica. La misma configuracion 2FA cubre Outlook, Xbox, Microsoft 365, Teams, OneDrive y todos los demas servicios de Microsoft.

Activa 2FA en Fortnite / Epic Games

Visita epicgames.com, luego account, password-and-security, Two-factor authentication, Enable Authenticator App. Escanea el QR code con nuestro generador 2FA. Activar 2FA en Fortnite tambien otorga la recompensa del emote Boogiedown y mejora la seguridad de tus cuentas de Rocket League y Epic Games Store.

Activa 2FA en Binance / Coinbase / Kraken

Cada gran crypto exchange, Binance, Coinbase, Kraken, Gemini, KuCoin, Bitstamp, exige 2FA para las retiradas. Activa la compatibilidad con Google Authenticator en la pestana security de cada exchange y guarda el secret key en tu password manager. Perder el acceso 2FA a una cuenta de crypto sin backup codes puede bloquearte de forma permanente el acceso a tus fondos.

Activa 2FA en Instagram / TikTok / Snapchat

Instagram, TikTok y Snapchat admiten 2FA por aplicacion authenticator a traves del menu Settings, Security. Cada app genera un QR code compatible con cualquier herramienta TOTP RFC 6238. Dado lo frecuentemente que las cuentas sociales son objetivo de robo y reventa, activar la autenticacion de dos factores en todas tus cuentas de redes sociales es imprescindible en 2026.

Despues de activar 2FA en cualquier servicio, pruebalo de inmediato cerrando sesion y volviendo a entrar, antes de necesitarlo de verdad. Asi te aseguras de que los codigos del authenticator funcionan correctamente y de que has guardado los recovery backup codes de forma segura.

Buenas Practicas de Seguridad 2FA que Todo Usuario Debe Seguir

Activar la autenticacion de dos factores es solo la mitad del trabajo. Seguir estas buenas practicas mantiene tu configuracion 2FA a salvo de las amenazas modernas dirigidas a aplicaciones authenticator, codigos SMS y flujos de recuperacion. Adoptar aunque sea la mitad de las practicas siguientes te colocara por delante del 95% de los usuarios en higiene 2FA.

  • Guarda siempre tus backup codes. Cada servicio que soporta 2FA genera de 8 a 10 recovery codes de un solo uso cuando activas el authenticator. Imprimelos, guardalos en tu password manager o almacenalos en notas cifradas. Sin backup codes, perder el telefono puede significar perder la cuenta para siempre, ningun customer support puede recuperar una cuenta 2FA bien protegida sin pruebas de identidad.
  • Utiliza varios dispositivos authenticator. Exporta un backup 2FA desde esta herramienta e importalo en un segundo dispositivo, o usa Authy / 1Password, que sincronizan los secrets TOTP entre dispositivos de forma nativa. Google Authenticator ahora cuenta con una funcion oficial de exportacion por QR. Tener un segundo dispositivo significa que perder o romper un telefono no te desconecta de todas tus cuentas 2FA en el peor momento.
  • Mantente alerta ante los ataques de MFA fatigue. Un atacante que conozca tu contrasena puede saturarte con solicitudes 2FA por notificacion push esperando que pulses Approve por costumbre o fastidio. Esta tecnica se uso en filtraciones de alto perfil como la de Uber. Revisa siempre que app solicita la confirmacion y rechaza los prompts inesperados, un login legitimo rara vez dispara una solicitud 2FA en mitad de la noche sin motivo.
  • Protegete del SIM swapping. Aunque evites el SMS 2FA, el numero de movil suele estar vinculado a los flujos de recuperacion de cuenta. Pide a tu operador que anada un PIN o una proteccion anti port-out a tu cuenta para que los delincuentes no puedan trasladar tu SIM a sus dispositivos. Solo este cambio ya bloquea la mayoria de ataques de SIM swap y es gratis en todos los grandes operadores.
  • Combina 2FA con un password manager. Contrasenas fuertes y unicas por sitio, mas TOTP 2FA, mas una hardware security key para las cuentas criticas, es el gold standard de la seguridad de cuentas en 2026. 1Password, Bitwarden, LastPass y KeePass pueden almacenar los secrets TOTP junto a las contrasenas, algunos incluso autocompletan ambos campos a la vez para un inicio de sesion fluido.
  • Nunca compartas un codigo 2FA, ni siquiera con soporte. Ninguna empresa legitima, banco o plataforma online te pedira que leas un codigo 2FA de 6 digitos en voz alta, que lo escribas en un chat o que lo envies por correo. Si alguien te lo pide, tanto si dice ser el soporte tecnico, tu banco o un mensajero, es una estafa. Cuelga y contacta con la empresa a traves de su numero oficial o su web.
  • Audita tu configuracion 2FA cada ano. Mantente una lista de cada cuenta en la que tengas activada la autenticacion de dos factores. Quita 2FA de las cuentas sin uso, activalo en las nuevas y verifica que los backup codes siguen funcionando. Una auditoria 2FA anual detecta correos electronicos de recuperacion obsoletos, numeros de telefono antiguos y seeds del authenticator olvidados.
  • Pasa a passkeys cuando esten disponibles. Los passkeys FIDO2 / WebAuthn estan reemplazando poco a poco las contrasenas y el TOTP 2FA en Google, Apple, Microsoft, GitHub, PayPal y cientos de servicios mas. Los passkeys son resistentes al phishing por diseno y estan ligados al secure enclave del dispositivo, cuando un sitio ofrezca un passkey, activalo en lugar de depender solo de codigos 2FA.

Solucion de Problemas Comunes de 2FA

Incluso una configuracion bien montada de autenticacion de dos factores puede tener problemas. Estos son los inconvenientes 2FA mas frecuentes entre los usuarios y las soluciones practicas que los resuelven en la mayoria de casos sin contactar con soporte.

\"Invalid 2FA code\" o \"Codigo de verificacion incorrecto\"

La causa mas habitual es un reloj del dispositivo desajustado. TOTP depende de la hora exacta, un desfase de solo 30 segundos hace que los codigos no coincidan. En Android: Settings, System, Date and time, Set time automatically. En iOS: Settings, General, Date and Time, Set Automatically. En Windows: Settings, Time and language, Date and time, Set time automatically. Los servidores suelen aceptar codigos dentro de una ventana de mas o menos 1, asi que probar el siguiente codigo tras el refresco de 30 segundos suele funcionar.

Errata del secret key al introducirlo a mano

Base32 solo usa A a Z y 2 a 7, no hay 0, 1, 8 ni 9. Caracteres ambiguos como O frente a 0 o I frente a 1 rompen todo. Copia el secret key directamente del QR code del servicio en vez de teclearlo, o usa nuestro QR scanner integrado. Muchos servicios tambien permiten mostrar el secret en texto plano junto al QR code para facilitar la introduccion manual.

Perdiste el telefono con la aplicacion authenticator

Primero, prueba los backup codes, la mayoria de servicios piden uno cuando no tienes acceso al authenticator 2FA. Si ya habias exportado o sincronizado los secrets TOTP, restauralos en el nuevo dispositivo. Como ultimo recurso, contacta con el equipo de soporte del servicio y sigue su flujo de recuperacion de cuenta, que suele implicar verificacion con ID oficial o confirmacion de otros secrets. Nunca pagues a servicios de 2FA recovery de terceros, son estafas.

El QR code no se puede escanear

La iluminacion, el enfoque de la camara y los reflejos en pantalla son causas habituales. Prueba a descargar el QR como archivo de imagen y subirlo a nuestro image scanner, o introduce manualmente el secret key Base32 que aparece. Asegurate de que ninguna extension del navegador esta modificando la visualizacion del QR.

Bloqueado por completo de una cuenta por 2FA

La mayoria de servicios permiten verificar la identidad con ID oficial, los ultimos 4 digitos de una tarjeta de credito, correo de recuperacion o contactos de confianza. Los inicios de sesion sociales (Google, Apple, Microsoft) pueden desbloquear a menudo via el 2FA de la cuenta matriz. Los crypto exchanges son los mas estrictos, preparate para un proceso KYC de varios dias. Documenta tu identidad correctamente y sigue el flujo oficial de recuperacion de cada servicio.

No llegan las notificaciones push

Asegurate de que la aplicacion authenticator tiene permisos de notificacion, de que la optimizacion de bateria esta desactivada especificamente para ella, y de que el dispositivo tiene conexion a internet activa. En Android, algunos ahorros de bateria agresivos matan los servicios en segundo plano del authenticator, whitelistea tus apps 2FA. Reiniciar la app suele refrescar el token push.

Como Funciona TOTP por Dentro (Technical Deep Dive)

Para los tecnicamente curiosos, aqui tienes paso a paso como se genera un codigo 2FA TOTP, siguiendo el RFC 6238, el mismo algoritmo que usa internamente nuestro generador 2FA, y el mismo que siguen Google Authenticator, Microsoft Authenticator, Authy y todos los demas authenticators compatibles.

  1. 1. Shared secret. Cuando activas 2FA en un servicio, tanto el servidor como tu aplicacion authenticator acuerdan un secret key aleatorio, normalmente de 160 bits (20 bytes) codificado en Base32 para una presentacion legible por humanos. Este shared secret nunca sale de ninguna de las partes en operacion normal.
  2. 2. Time counter. Toma el timestamp Unix actual, divide por 30 y aplica floor al resultado. Esto produce un contador entero que aumenta en ambas partes cada 30 segundos. Usar el tiempo como contador significa que no hay que sincronizar un estado entre servidor y authenticator, ambos lados calculan el mismo valor de forma independiente.
  3. 3. HMAC-SHA1. Calcula el hash HMAC-SHA1 usando el shared secret como key y el contador de 8 bytes big-endian como mensaje. La salida es un hash criptografico de 20 bytes. Las implementaciones modernas tambien soportan HMAC-SHA256 y HMAC-SHA512 para un 2FA mas fuerte cuando ambas partes acuerdan el algoritmo.
  4. 4. Dynamic truncation. Toma el ultimo byte del hash, aplica un mask de 4 bits bajos para obtener un offset (0 a 15). Extrae 4 bytes desde ese offset en el hash, limpia el high bit y trata el resultado como un entero de 32 bits. Es el algoritmo de dynamic truncation del RFC 4226 (HOTP) sobre el que se construye TOTP.
  5. 5. Modulo para los digitos. Calcula el entero de 32 bits modulo 10 a la potencia de los digitos, normalmente 10 a la 6 para el codigo 2FA estandar de 6 digitos, o 10 a la 8 para algunos servicios bancarios. Rellena con ceros por la izquierda si hace falta, para que valores bajos como 7 queden como 000007 y no como un codigo parcial.

El resultado es un codigo de verificacion de 6 digitos calculado de forma identica por el authenticator y por el servidor. Cuando escribes el codigo al iniciar sesion, el servidor calcula el codigo esperado para la ventana de tiempo actual y lo compara. Como HMAC es resistente a colisiones, solo quien posee el shared secret puede producir un codigo TOTP valido, esa es la matematica criptografica detras de la seguridad 2FA moderna. En nuestra implementacion, todo este calculo ocurre en el lado del cliente usando la Web Crypto API del navegador, de modo que tu secret key no toca nunca un servidor y los codigos que generamos coinciden exactamente con los de Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden y cualquier authenticator conforme a RFC 6238.

Glosario de Autenticacion de Dos Factores

Una referencia rapida para la terminologia mas comun de autenticacion de dos factores que encontraras al activar 2FA en distintos servicios.

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.