2FAPRO.COM

टू-फैक्टर ऑथेंटिकेशन (2FA) कोड जनरेटर

Google, Facebook, Instagram और अन्य सेवाओं के लिए अपनी सीक्रेट की से TOTP कोड जनरेट करें।

जिस सेवा का आप उपयोग करना चाहते हैं, उससे 2FA सीक्रेट की दर्ज करें। स्पेस और फॉर्मेटिंग स्वचालित रूप से साफ हो जाएंगी।

आपकी सीक्रेट की कभी भी हमारे सर्वर पर स्टोर नहीं की जाती और केवल आपके डिवाइस पर प्रोसेस होती है।

QR कोड स्कैन करें

इस टूल को साझा करें

सहेजे गए अकाउंट

कोई सहेजा हुआ अकाउंट नहीं

जनरेटर टैब से अकाउंट जोड़ें या बैकअप से इम्पोर्ट करें

हाल की कीज

अभी तक कोई इतिहास नहीं

जेनरेट किए गए कोड यहां दिखाई देंगे

जानकारी और सहायता

2FA/TOTP क्या है?

टू-फैक्टर ऑथेंटिकेशन (2FA) एक अतिरिक्त सुरक्षा परत है जिसके लिए उपयोगकर्ताओं को दो प्रकार की पहचान प्रदान करने की आवश्यकता होती है। TOTP एक एल्गोरिदम है जो हर 30 सेकंड में बदलने वाले वन-टाइम पासवर्ड जनरेट करता है।

सीक्रेट की कहां से प्राप्त करें?

सुरक्षा

यह एप्लिकेशन आपकी सीक्रेट की को आपके ब्राउज़र में स्थानीय रूप से प्रोसेस करती है। डेटा कभी भी हमारे सर्वर पर स्टोर नहीं किया जाता या तीसरे पक्ष को नहीं भेजा जाता। फिर भी, हमेशा सुनिश्चित करें कि आप अपनी सीक्रेट की गोपनीय रखें।

संगत सेवाएं

यह जनरेटर उन सेवाओं के साथ काम करता है जो TOTP स्टैंडर्ड का उपयोग करती हैं, जिनमें Google, Facebook, Twitter, Microsoft, GitHub, Dropbox, Amazon और अधिकांश क्लाउड और सोशल मीडिया सेवाएं शामिल हैं।

टू-फैक्टर ऑथेंटिकेशन (2FA) की पूरी गाइड

2FA, TOTP कोड, authenticator ऐप्स, और टू-फैक्टर ऑथेंटिकेशन से अपने ऑनलाइन अकाउंट को सुरक्षित रखने के बारे में जानने योग्य सब कुछ।

3 आसान स्टेप्स में 2FA कोड कैसे जनरेट करें

  1. 1

    अपनी 2FA सीक्रेट की कॉपी करें

    जब आप Google, Facebook, GitHub, या किसी अन्य सर्विस पर टू-फैक्टर ऑथेंटिकेशन चालू करते हैं, तो QR कोड के पास दिखाई गई Base32 सीक्रेट की कॉपी करें।

  2. 2

    की पेस्ट करें और TOTP जनरेट करें

    सीक्रेट की को ऊपर दिए गए 2FA जनरेटर फील्ड में पेस्ट करें और Generate Code पर क्लिक करें। ताजा 6 अंकों का TOTP कोड तुरंत आपके ब्राउज़र में कैलकुलेट हो जाता है।

  3. 3

    लॉगिन के लिए 2FA कोड का उपयोग करें

    30 सेकंड टाइमर समाप्त होने से पहले 6 अंकों का वेरिफिकेशन कोड लॉगिन फॉर्म में डालें। हर नए लॉगिन के लिए कोड ऑटोमैटिकली अपडेट होता है।

हमारे 2FA जनरेटर को सपोर्ट करने वाली लोकप्रिय सर्विसेज और प्लेटफॉर्म

हमारा 2FA कोड जनरेटर TOTP RFC 6238 स्टैंडर्ड का पालन करने वाली किसी भी सर्विस के साथ पूरी तरह कम्पैटिबल है। यहां सबसे लोकप्रिय प्लेटफॉर्म हैं जहां आप इस authenticator का उपयोग कर सकते हैं:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

हमारा फ्री 2FA TOTP जनरेटर क्यों इस्तेमाल करें

100% प्राइवेट और लोकल

सारा TOTP कोड जनरेशन सीधे आपके ब्राउज़र में होता है। 2FA सीक्रेट की कभी भी किसी सर्वर पर नहीं भेजी जाती, जिससे आपका authenticator डेटा पूरी तरह प्राइवेट रहता है।

इंस्टेंट 6-अंकों के कोड

हर 30 सेकंड में ऑटोमैटिक रिफ्रेश के साथ टाइम-बेस्ड वन-टाइम पासवर्ड तुरंत जनरेट करें। Google Authenticator, Authy, और Microsoft Authenticator के पूर्ण रिप्लेसमेंट के रूप में काम करता है।

बिल्ट-इन QR कोड स्कैनर

कैमरे से किसी भी 2FA QR कोड को स्कैन करें या इमेज अपलोड करें। टूल otpauth URI को ऑटोमैटिकली पढ़ता है, इसलिए आपको Base32 सीक्रेट की टाइप करने की ज़रूरत नहीं है।

TOTP और HOTP मोड

टाइम-बेस्ड (TOTP / RFC 6238) और काउंटर-बेस्ड (HOTP / RFC 4226) एल्गोरिदम के बीच स्विच करें। SHA-1, SHA-256, और SHA-512 हैश को सपोर्ट करता है।

2FA के बारे में अक्सर पूछे जाने वाले प्रश्न

2FA (टू-फैक्टर ऑथेंटिकेशन) क्या है?
2FA, या टू-फैक्टर ऑथेंटिकेशन, एक सिक्योरिटी मेथड है जिसे अकाउंट एक्सेस करने के लिए दो अलग-अलग वेरिफिकेशन स्टेप्स की आवश्यकता होती है: कुछ जो आप जानते हैं (पासवर्ड) और कुछ जो आपके पास है (authenticator ऐप से 2FA कोड)। भले ही हैकर पासवर्ड चुरा ले, टाइम-बेस्ड 2FA कोड के बिना वे लॉगिन नहीं कर सकते।
क्या यह 2FA जनरेटर Google Authenticator के साथ कम्पैटिबल है?
हां। हमारा ऑनलाइन 2FA जनरेटर वही TOTP RFC 6238 एल्गोरिदम का उपयोग करता है जो Google Authenticator, Microsoft Authenticator, Authy, और 1Password में है। यहां जनरेट किया गया 6-अंकों का कोड उसी सीक्रेट की के लिए उन ऐप्स के कोड से मेल खाएगा।
मेरा 2FA कोड हर 30 सेकंड में क्यों बदलता है?
TOTP कोड टाइम-बेस्ड वन-टाइम पासवर्ड हैं - वर्तमान Unix timestamp और आपकी सीक्रेट की से डिराइव किए गए, और तय अंतराल (आमतौर पर 30 सेकंड) पर रोटेट होते हैं। यह छोटी उम्र रिप्ले अटैक्स को रोकती है और टू-फैक्टर ऑथेंटिकेशन को सुरक्षित रखती है।
क्या इस वेबसाइट पर 2FA सीक्रेट की डालना सुरक्षित है?
हां। सारा 2FA कोड जनरेशन Web Crypto API का उपयोग करके आपके ब्राउज़र में लोकली होता है। सीक्रेट की कभी भी आपकी डिवाइस नहीं छोड़ती और किसी सर्वर पर नहीं भेजी जाती। अधिकतम सुरक्षा के लिए, सीक्रेट की को पासवर्ड की तरह ट्रीट करें और किसी के साथ शेयर न करें।
TOTP और HOTP में क्या अंतर है?
TOTP (टाइम-बेस्ड वन-टाइम पासवर्ड, RFC 6238) वर्तमान समय के आधार पर कोड जनरेट करता है, इसीलिए कोड हर 30 सेकंड में बदलता है। HOTP (HMAC-बेस्ड वन-टाइम पासवर्ड, RFC 4226) एक बढ़ते काउंटर का उपयोग करता है। दोनों 2FA कोड के प्रकार हैं; TOTP आज बहुत अधिक कॉमन है।
क्या मैं इसे प्राइमरी authenticator ऐप के रूप में उपयोग कर सकता हूं?
हां। आप My Accounts टैब में एन्क्रिप्टेड लोकल स्टोरेज के साथ कई 2FA अकाउंट सेव कर सकते हैं, एन्क्रिप्टेड बैकअप एक्सपोर्ट कर सकते हैं, और दूसरी डिवाइस पर रिस्टोर कर सकते हैं। टूल प्रोग्रेसिव वेब ऐप (PWA) के रूप में काम करता है, इसलिए इसे नेटिव authenticator की तरह इंस्टॉल किया जा सकता है।
अगर वेबसाइट मेरा 2FA कोड रिजेक्ट कर दे तो क्या करें?
गलत 2FA कोड का आमतौर पर मतलब है कि आपकी डिवाइस की घड़ी सिंक नहीं है, या सीक्रेट की गलत कॉपी हुई है। सुनिश्चित करें कि Base32 सीक्रेट में एक्स्ट्रा स्पेस न हों, सिस्टम टाइम ऑटोमैटिकली सेट हो, और 30-सेकंड रिफ्रेश के बाद अगला कोड ट्राई करें।
क्या यह 2FA टूल ऑफलाइन काम करता है?
हां। पहले विज़िट के बाद, authenticator service worker द्वारा कैश हो जाता है ताकि आप इंटरनेट कनेक्शन के बिना TOTP कोड जनरेट कर सकें। यात्रा के लिए या जब आपका प्राइमरी authenticator ऐप उपलब्ध न हो, तब के लिए परफेक्ट है।

2026 में टू-फैक्टर ऑथेंटिकेशन क्यों ज़रूरी है

अकेले पासवर्ड अब काफी नहीं हैं। हर साल डेटा ब्रीच में अरबों क्रेडेंशियल्स लीक हो जाते हैं, और उन्नत फिशिंग किट्स जटिल पासवर्ड को भी हरा सकती हैं। टू-फैक्टर ऑथेंटिकेशन - जिसे 2FA, मल्टी-फैक्टर ऑथेंटिकेशन (MFA), या टू-स्टेप वेरिफिकेशन भी कहा जाता है - एक दूसरी लेयर जोड़ता है जिसे रिमोट हमलावर आसानी से बायपास नहीं कर सकते।

इस जैसे TOTP authenticator 2FA का सबसे व्यापक रूप से सपोर्टेड तरीका है, जो Google, Microsoft, Apple ID, GitHub, Facebook, Instagram, Snapchat, TikTok, Steam, Epic Games, Fortnite, Discord, और लगभग हर प्रमुख ऑनलाइन सर्विस पर काम करता है। हर 30 सेकंड में रोटेट होने वाले ताजा 6-अंकों के 2FA कोड के साथ, लीक हुए पासवर्ड अकेले बेकार हो जाते हैं।

जहां भी संभव हो 2FA चालू करें - ईमेल, सोशल मीडिया, क्रिप्टो एक्सचेंज, क्लाउड स्टोरेज, बैंकिंग, और गेमिंग अकाउंट। मजबूत पासवर्ड मैनेजर और प्रति-साइट यूनीक पासवर्ड के साथ मिलकर, उचित टू-फैक्टर ऑथेंटिकेशन सेटअप आपकी ऑनलाइन सुरक्षा के लिए सबसे बड़े अपग्रेड्स में से एक है।

2FA तरीकों के प्रकारों की तुलना: SMS, TOTP, हार्डवेयर की, बायोमेट्रिक

आज कई प्रकार के टू-फैक्टर ऑथेंटिकेशन उपलब्ध हैं, प्रत्येक सुरक्षा और सुविधा के अलग-अलग स्तरों के साथ। इन विकल्पों को समझना आपको हर अकाउंट के लिए सही 2FA मेथड चुनने में मदद करता है - कैजुअल गेमिंग लॉगिन से लेकर हाई-वैल्यू बैंकिंग और क्रिप्टो अकाउंट तक। नीचे हम 2026 में आपको मिलने वाले हर प्रमुख 2FA फॉर्म की तुलना करते हैं, फायदे, नुकसान, और अपनी ईमानदार सिफारिशों के साथ।

2FA मेथड सुरक्षा सुविधा किसके लिए सबसे अच्छा
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA टू-फैक्टर ऑथेंटिकेशन का सबसे आम रूप है क्योंकि यह सभी मोबाइल फोन के साथ काम करता है। पासवर्ड डालने के बाद, 6-अंकों के वेरिफिकेशन कोड के साथ एक टेक्स्ट मैसेज आपके नंबर पर भेजा जाता है। सुविधाजनक होते हुए भी, SMS 2FA SIM swapping अटैक्स के लिए कमजोर है - जहां अपराधी ऑपरेटर्स को आपका नंबर अपनी डिवाइस पर ट्रांसफर करने के लिए धोखा देते हैं। NIST ने हाई-वैल्यू अकाउंट्स के लिए SMS को सुरक्षित 2FA मेथड के रूप में deprecate कर दिया है, और प्रमुख बैंक TOTP authenticator ऐप्स पर शिफ्ट होने की बढ़ती हुई सिफारिश कर रहे हैं।

Authenticator apps (TOTP) जैसे Google Authenticator, Microsoft Authenticator, Authy, और 1Password नेटवर्क कनेक्शन की आवश्यकता के बिना सीधे आपकी डिवाइस पर टाइम-बेस्ड वन-टाइम पासवर्ड जनरेट करते हैं। यह TOTP 2FA को तेज, ज़्यादा सुरक्षित, और SIM swap अटैक्स से इम्यून बनाता है। RFC 6238 स्टैंडर्ड के आधार पर कोड हर 30 सेकंड में रोटेट होते हैं, और वही सीक्रेट की सभी कम्पैटिबल authenticators पर काम करती है - इस ब्राउज़र-बेस्ड जनरेटर सहित।

Hardware security keys जैसे YubiKey, Google Titan, SoloKeys, और Feitian FIDO2 / WebAuthn स्टैंडर्ड का उपयोग करके USB, NFC, या Bluetooth डिवाइस के माध्यम से फिजिकल ओनरशिप साबित करते हैं। हार्डवेयर कीज 2FA सुरक्षा का गोल्ड स्टैंडर्ड हैं क्योंकि वे फिशिंग-रेसिस्टेंट हैं - TOTP कोड के विपरीत, नकली लॉगिन पेज क्रिप्टोग्राफिक सिग्नेचर्स को हार्वेस्ट नहीं कर सकते। सबसे महत्वपूर्ण अकाउंट के लिए हार्डवेयर कीज का उपयोग करें: प्राइमरी ईमेल, पासवर्ड मैनेजर, क्रिप्टो एक्सचेंज, और वर्क आइडेंटिटी।

Push notification 2FA Duo Mobile, Microsoft Authenticator पुश प्रॉम्प्ट्स, और Okta Verify जैसे ऐप आपके फोन पर एक कन्फर्मेशन टैप भेजते हैं। 6-अंकों के 2FA कोड टाइप करने से ज़्यादा सुविधाजनक लेकिन सर्विस सपोर्ट की आवश्यकता होती है और MFA fatigue अटैक्स के लिए कमजोर है जहां अपराधी अप्रूवल रिक्वेस्ट्स को स्पैम करते हैं इस उम्मीद में कि आप लापरवाही से Approve टैप कर देंगे।

Biometric 2FA and passkeys फिंगरप्रिंट या फेस रिकग्निशन का उपयोग करता है, अक्सर डिवाइस से बंधे passkey के साथ। Apple Face ID, Windows Hello, और Android फिंगरप्रिंट स्कैनर्स पहले से साइन-इन डिवाइस के लिए सेकेंडरी फैक्टर के रूप में तेजी से उपयोग किए जा रहे हैं। FIDO2 / WebAuthn-बेस्ड passkeys Google, Apple, Microsoft, GitHub, और बढ़ती सर्विसेज की सूची पर पासवर्ड और TOTP 2FA की जगह ले रहे हैं - यह ऑथेंटिकेशन का भविष्य है।

हमारी सिफारिश: प्राइमरी 2FA मेथड के रूप में TOTP authenticator ऐप का उपयोग करें, जो सबसे महत्वपूर्ण अकाउंट (प्राइमरी ईमेल, पासवर्ड मैनेजर, क्रिप्टो, वर्क आइडेंटिटी) के लिए हार्डवेयर सिक्योरिटी की से सपोर्टेड हो। जब संभव हो SMS 2FA से बचें और हमेशा backup codes को सुरक्षित स्थान पर ऑफलाइन सेव करें।

लोकप्रिय सर्विसेज पर 2FA कैसे चालू करें (स्टेप बाय स्टेप)

टू-फैक्टर ऑथेंटिकेशन सेटअप हर प्लेटफॉर्म पर थोड़ा अलग होता है, लेकिन सभी प्रमुख सर्विसेज पर मुख्य फ्लो एक जैसा है। नीचे सबसे लोकप्रिय प्लेटफॉर्म पर 2FA चालू करने के लिए एक त्वरित स्टेप-बाय-स्टेप गाइड है, जो सभी इस TOTP जनरेटर के साथ सहजता से काम करते हैं।

Google / Gmail पर 2FA चालू करें

myaccount.google.com पर जाएं फिर Security, 2-Step Verification, Get Started। पासवर्ड से साइन-इन करें, Authenticator app चुनें। Google एक QR कोड दिखाता है - हमारे TOTP जनरेटर से स्कैन करें या Base32 सीक्रेट की पेस्ट करें। Google आपके Gmail और Google अकाउंट के लिए अतिरिक्त 2FA तरीकों के रूप में Google Prompt नोटिफिकेशन्स और हार्डवेयर सिक्योरिटी कीज भी सपोर्ट करता है।

Facebook / Meta पर 2FA चालू करें

अपनी Facebook प्रोफाइल पिक्चर पर क्लिक करें, Settings & Privacy खोलें, Settings, Accounts Center, Password and security, Two-factor authentication। Authentication app चुनें और QR कोड स्कैन करें या सीक्रेट की को हमारे 2FA कोड जनरेटर में कॉपी करें। Facebook SMS को बैकअप के रूप में अनुमति देता है, लेकिन बेहतर सुरक्षा के लिए authenticator ऐप 2FA अत्यधिक अनुशंसित है।

Discord पर 2FA चालू करें

Discord खोलें, User Settings (गियर आइकन), My Account, Enable Two-Factor Auth। पासवर्ड डालें, फिर हमारे 2FA कोड जनरेटर के साथ दिखाए गए QR कोड या मैनुअल Base32 की का उपयोग करें। हमेशा तुरंत Discord backup codes सेव करें - यदि आप authenticator तक पहुंच खो देते हैं, तो Discord को अकाउंट रिकवरी के लिए उन कोड की आवश्यकता होगी।

GitHub पर 2FA चालू करें

Settings, Password and authentication, Two-factor authentication, Enable पर जाएं। हमारे 2FA टूल या किसी भी RFC 6238 authenticator के साथ TOTP कोड जनरेट करने के लिए Set up using an app चुनें। GitHub अतिरिक्त फैक्टर के रूप में FIDO2 सिक्योरिटी कीज भी सपोर्ट करता है, और संवेदनशील रिपॉजिटरी के सभी कॉन्ट्रिब्यूटर्स के लिए 2FA अनिवार्य करता है।

Microsoft / Outlook पर 2FA चालू करें

account.microsoft.com, Security, Advanced security options, Two-step verification, Turn on पर जाएं। Microsoft अपना Microsoft Authenticator ऐप पसंद करता है लेकिन कोई भी RFC 6238 TOTP जनरेटर - हमारे सहित - समान रूप से काम करता है। वही 2FA सेटअप Outlook, Xbox, Microsoft 365, Teams, OneDrive, और अन्य सभी Microsoft सर्विसेज को कवर करता है।

Fortnite / Epic Games पर 2FA चालू करें

epicgames.com पर जाएं फिर account, password-and-security, Two-factor authentication, Enable Authenticator App। हमारे 2FA जनरेटर से QR कोड स्कैन करें। Fortnite पर 2FA चालू करने से आपको Boogiedown एमोट रिवॉर्ड भी मिलता है और आपके Rocket League और Epic Games Store अकाउंट की सुरक्षा बेहतर होती है।

Binance / Coinbase / Kraken पर 2FA चालू करें

हर प्रमुख क्रिप्टो एक्सचेंज - Binance, Coinbase, Kraken, Gemini, KuCoin, Bitstamp - निकासी के लिए 2FA अनिवार्य करता है। प्रत्येक एक्सचेंज के सिक्योरिटी टैब में Google Authenticator कम्पैटिबिलिटी चालू करें और सीक्रेट की पासवर्ड मैनेजर में सेव करें। backup codes के बिना क्रिप्टो अकाउंट पर 2FA एक्सेस खोने से आप अपने फंड से स्थायी रूप से लॉक हो सकते हैं।

Instagram / TikTok / Snapchat पर 2FA चालू करें

Instagram, TikTok, और Snapchat सभी Settings, Security मेन्यू के माध्यम से authenticator ऐप 2FA सपोर्ट करते हैं। प्रत्येक ऐप किसी भी RFC 6238 TOTP टूल के साथ कम्पैटिबल QR कोड जनरेट करता है। यह देखते हुए कि सोशल अकाउंट कितनी बार अकाउंट चोरी और पुनर्विक्रय के लिए टारगेट होते हैं, 2026 में हर सोशल मीडिया अकाउंट पर टू-फैक्टर ऑथेंटिकेशन चालू करना अनिवार्य है।

किसी भी सर्विस पर 2FA चालू करने के बाद, तुरंत लॉगआउट और लॉगिन करके टेस्ट करें - इससे पहले कि आपको वास्तव में इसकी आवश्यकता पड़े। यह सुनिश्चित करता है कि authenticator कोड सही ढंग से काम करता है और आपने recovery backup codes सुरक्षित रूप से सेव किए हैं।

2FA सिक्योरिटी बेस्ट प्रैक्टिसेज जो हर यूज़र को फॉलो करनी चाहिए

टू-फैक्टर ऑथेंटिकेशन चालू करना सिर्फ आधा काम है। निम्नलिखित बेस्ट प्रैक्टिसेज का पालन करना authenticator ऐप्स, SMS कोड, और रिकवरी फ्लो को टारगेट करने वाले आधुनिक खतरों से आपके 2FA सेटअप को सुरक्षित रखता है। नीचे दी गई प्रैक्टिसेज में से सिर्फ आधी भी अपनाने से आप 2FA हाइजीन के मामले में 95% यूज़र्स से बेहतर हो जाएंगे।

  • हमेशा अपने backup codes सेव करें। हर 2FA सपोर्ट करने वाली सर्विस authenticator चालू करने पर 8-10 वन-टाइम रिकवरी कोड बनाती है। इन्हें प्रिंट करें, पासवर्ड मैनेजर में सेव करें, या एन्क्रिप्टेड नोट्स में स्टोर करें। backup codes के बिना, फोन खोने का मतलब अकाउंट स्थायी रूप से खोना हो सकता है - कोई कस्टमर सपोर्ट पहचान प्रमाण के बिना हार्डेंड 2FA अकाउंट को रिकवर नहीं कर सकता।
  • कई authenticator डिवाइस का उपयोग करें। इस टूल से 2FA बैकअप एक्सपोर्ट करें और दूसरी डिवाइस पर इम्पोर्ट करें, या Authy / 1Password का उपयोग करें जो डिवाइसेस के बीच TOTP सीक्रेट्स को नेटिव रूप से सिंक करते हैं। Google Authenticator के पास अब ऑफिशियल QR एक्सपोर्ट फीचर है। दूसरी डिवाइस होने का मतलब है कि फोन खोना या टूटना सबसे खराब समय में आपको हर 2FA अकाउंट से नहीं काटेगा।
  • MFA fatigue अटैक्स से सावधान रहें। जो हमलावर आपका पासवर्ड जानते हैं वे 2FA पुश नोटिफिकेशन रिक्वेस्ट स्पैम कर सकते हैं इस उम्मीद में कि आप आदतन या चिढ़कर Approve टैप कर देंगे। इसका उपयोग Uber और अन्य में हाई-प्रोफाइल ब्रीच में किया गया। हमेशा जांचें कि कौन सा ऐप कन्फर्मेशन मांग रहा है और अप्रत्याशित प्रॉम्प्ट्स को अस्वीकार करें - लेजिटिमेट लॉगिन शायद ही कभी बिना कारण आधी रात में 2FA रिक्वेस्ट ट्रिगर करते हैं।
  • SIM swapping से खुद को बचाएं। भले ही आप SMS 2FA से बचें, मोबाइल नंबर अक्सर अकाउंट रिकवरी फ्लो से जुड़े होते हैं। अपने ऑपरेटर से अपने अकाउंट में PIN या port-out सुरक्षा जोड़ने के लिए कहें ताकि अपराधी SIM को अपनी डिवाइस पर ट्रांसफर न कर सकें। यह अकेला बदलाव अधिकांश SIM swap अटैक्स को ब्लॉक करता है और सभी प्रमुख ऑपरेटर्स पर मुफ्त है।
  • 2FA को पासवर्ड मैनेजर के साथ कम्बाइन करें। हर साइट के लिए मजबूत यूनीक पासवर्ड प्लस TOTP 2FA प्लस क्रिटिकल अकाउंट के लिए हार्डवेयर सिक्योरिटी की 2026 में अकाउंट सुरक्षा का गोल्ड स्टैंडर्ड है। 1Password, Bitwarden, LastPass, और KeePass पासवर्ड के साथ-साथ TOTP सीक्रेट्स स्टोर कर सकते हैं - कुछ सीमलेस लॉगिन अनुभव के लिए दोनों फील्ड्स एक साथ ऑटोफिल भी करते हैं।
  • कभी भी 2FA कोड शेयर न करें, सपोर्ट के साथ भी नहीं। कोई लेजिटिमेट कंपनी, बैंक, या ऑनलाइन प्लेटफॉर्म आपसे 6-अंकों का 2FA कोड ज़ोर से पढ़ने, चैट में टाइप करने, या ईमेल से भेजने के लिए नहीं कहेगा। अगर कोई पूछे - चाहे वे टेक सपोर्ट, आपके बैंक, या डिलीवरी कंपनी होने का दावा करें - यह धोखाधड़ी है। फोन काट दें और कंपनी से उनके ऑफिशियल नंबर या वेबसाइट से सीधे संपर्क करें।
  • हर साल अपने 2FA सेटअप का ऑडिट करें। हर अकाउंट की सूची बनाएं जहां आपने टू-फैक्टर ऑथेंटिकेशन चालू किया है। अप्रयुक्त अकाउंट से 2FA हटाएं, नए बनाए गए अकाउंट पर चालू करें, और वेरिफाई करें कि backup codes अभी भी काम करते हैं। वार्षिक 2FA ऑडिट पुराने रिकवरी ईमेल पते, पुराने मोबाइल नंबर, और भूले हुए authenticator seeds पकड़ता है।
  • जब उपलब्ध हो तो passkeys में अपग्रेड करें। FIDO2 / WebAuthn passkeys Google, Apple, Microsoft, GitHub, PayPal, और सैकड़ों अन्य सर्विसेज पर पासवर्ड और TOTP 2FA को धीरे-धीरे बदल रहे हैं। passkeys डिज़ाइन से फिशिंग-रेसिस्टेंट हैं और आपकी डिवाइस के secure enclave से बंधे हैं - जब साइट्स passkey ऑफर करें, तो केवल 2FA कोड पर निर्भर रहने के बजाय इसे चालू करें।

सामान्य 2FA समस्याओं का ट्रबलशूटिंग

यहां तक कि अच्छी तरह से कॉन्फ़िगर किया गया टू-फैक्टर ऑथेंटिकेशन सेटअप भी समस्याओं का सामना कर सकता है। यहां यूज़र्स द्वारा सामना की जाने वाली सबसे आम 2FA समस्याएं हैं और व्यावहारिक फिक्स जो ज़्यादातर को सपोर्ट संपर्क की आवश्यकता के बिना हल करते हैं।

अमान्य 2FA कोड या गलत वेरिफिकेशन कोड

सबसे आम कारण डिवाइस क्लॉक ड्रिफ्ट है। TOTP सटीक समय पर निर्भर करता है - 30-सेकंड का भी ऑफसेट कोड के मिसमैच का कारण बनता है। Android पर: Settings, System, Date & time, Set time automatically। iOS पर: Settings, General, Date & Time, Set Automatically। Windows पर: Settings, Time & language, Date & time, Set time automatically। सर्वर आमतौर पर प्लस/माइनस 1 विंडो में कोड स्वीकार करते हैं, इसलिए 30-सेकंड रिफ्रेश के बाद अगला कोड आज़माना अक्सर काम करता है।

मैनुअल इनपुट के दौरान सीक्रेट की में टाइपो

Base32 केवल A से Z और 2 से 7 का उपयोग करता है - कोई 0, 1, 8, या 9 नहीं। O बनाम 0 या I बनाम 1 जैसे अस्पष्ट वर्ण सब कुछ तोड़ देते हैं। मैनुअल टाइप करने के बजाय सर्विस के QR कोड से सीधे सीक्रेट की कॉपी करें, या हमारे बिल्ट-इन QR स्कैनर का उपयोग करें। कई सर्विसेज आसान मैनुअल इनपुट के लिए QR कोड के साथ plaintext सीक्रेट दिखाने की अनुमति भी देती हैं।

authenticator ऐप के साथ फोन खो गया

पहले, backup codes आज़माएं - ज़्यादातर सर्विसेज एक मांगती हैं जब आप 2FA authenticator तक पहुंच नहीं सकते। अगर आपने TOTP सीक्रेट्स एक्सपोर्ट या सिंक किए हैं, तो नई डिवाइस पर रिस्टोर करें। अंतिम उपाय के रूप में, सर्विस के सपोर्ट टीम से संपर्क करें और उनके अकाउंट रिकवरी फ्लो का पालन करें, जिसमें आमतौर पर सरकारी ID वेरिफिकेशन या अन्य सीक्रेट कन्फर्मेशन शामिल होता है। कभी भी थर्ड-पार्टी 2FA रिकवरी सर्विसेज के लिए भुगतान न करें - वे घोटाले हैं।

QR कोड स्कैन नहीं हो रहा

लाइटिंग, कैमरा फोकस, और स्क्रीन ग्लेयर सामान्य कारण हैं। QR को इमेज फाइल के रूप में डाउनलोड करें और हमारे इमेज स्कैनर पर अपलोड करें, या दिखाई गई Base32 सीक्रेट की को मैनुअली डालें। सुनिश्चित करें कि कोई ब्राउज़र एक्सटेंशन QR डिस्प्ले को मॉडिफाई नहीं कर रहा है।

अकाउंट 2FA से पूरी तरह लॉक आउट है

ज़्यादातर सर्विसेज सरकारी ID, क्रेडिट कार्ड के अंतिम 4 अंक, रिकवरी ईमेल, या भरोसेमंद कॉन्टैक्ट्स के माध्यम से आइडेंटिटी वेरिफिकेशन सपोर्ट करती हैं। सोशल लॉगिन (Google, Apple, Microsoft) अक्सर पैरेंट अकाउंट 2FA के माध्यम से अनलॉक कर सकते हैं। क्रिप्टो एक्सचेंज सबसे सख्त हैं - बहु-दिवसीय KYC प्रक्रिया के लिए तैयार रहें। अपनी आइडेंटिटी को सही ढंग से डॉक्यूमेंट करें और प्रत्येक सर्विस के ऑफिशियल रिकवरी फ्लो का पालन करें।

पुश नोटिफिकेशन नहीं आ रहे

सुनिश्चित करें कि authenticator ऐप के पास नोटिफिकेशन परमिशन है, बैटरी ऑप्टिमाइज़ेशन विशेष रूप से इसके लिए डिसेबल है, और डिवाइस के पास एक्टिव इंटरनेट एक्सेस है। Android पर, कुछ आक्रामक बैटरी सेवर बैकग्राउंड authenticator सेवाओं को बंद कर देते हैं - अपने 2FA ऐप को व्हाइटलिस्ट करें। ऐप रीस्टार्ट करना आमतौर पर पुश टोकन रिफ्रेश करता है।

TOTP बैकग्राउंड में कैसे काम करता है (टेक्निकल डीप डाइव)

टेक्निकली जिज्ञासु लोगों के लिए, यहां स्टेप-बाय-स्टेप है कि 2FA TOTP कोड कैसे बनाए जाते हैं, RFC 6238 का पालन करते हुए - वही एल्गोरिदम जिसका उपयोग हमारे 2FA जनरेटर आंतरिक रूप से करते हैं, और वही एल्गोरिदम जो Google Authenticator, Microsoft Authenticator, Authy, और सभी अन्य कम्पैटिबल authenticators फॉलो करते हैं।

  1. 1. Shared secret. जब आप किसी सर्विस पर 2FA चालू करते हैं, तो सर्वर और आपका authenticator ऐप दोनों एक रैंडम सीक्रेट की पर सहमत होते हैं, आमतौर पर 160 बिट (20 बाइट) जो मानव-पठनीय प्रदर्शन के लिए Base32 में एन्कोडेड होती है। यह shared secret सामान्य ऑपरेशन में दोनों पक्षों को कभी नहीं छोड़ता।
  2. 2. Time counter. वर्तमान Unix timestamp लें, 30 से भाग दें, परिणाम को फ्लोर करें। यह एक integer काउंटर का उत्पादन करता है जो दोनों तरफ हर 30 सेकंड में बढ़ता है। काउंटर के रूप में समय का उपयोग करने का मतलब है कि सर्वर और authenticator के बीच स्टेट सिंक्रोनाइज़ेशन की आवश्यकता नहीं है - दोनों पक्ष स्वतंत्र रूप से एक ही वैल्यू कैलकुलेट करते हैं।
  3. 3. HMAC-SHA1. shared secret को की के रूप में और 8-बाइट big-endian काउंटर को मैसेज के रूप में उपयोग करके HMAC-SHA1 हैश कैलकुलेट करें। आउटपुट 20-बाइट क्रिप्टोग्राफिक हैश है। मॉडर्न इम्प्लीमेंटेशन्स भी मजबूत 2FA के लिए HMAC-SHA256 और HMAC-SHA512 को सपोर्ट करते हैं जब दोनों पक्ष एल्गोरिदम पर सहमत होते हैं।
  4. 4. Dynamic truncation. हैश का अंतिम बाइट लें, offset (0 से 15) प्राप्त करने के लिए निचले 4 बिट्स को मास्क करें। हैश में उस offset से 4 बाइट्स निकालें, high bit क्लियर करें, और परिणाम को 32-बिट integer के रूप में ट्रीट करें। यह RFC 4226 (HOTP) से dynamic truncation एल्गोरिदम है जिस पर TOTP आधारित है।
  5. 5. अंकों के लिए Modulo. 32-बिट integer modulo 10 को अंकों के घात पर कैलकुलेट करें - आमतौर पर स्टैंडर्ड 6-अंकों के 2FA कोड के लिए 10 की घात 6, या कुछ बैंकिंग सर्विसेज के लिए 10 की घात 8। आवश्यक होने पर शुरुआत में शून्यों से पैड करें ताकि 7 जैसी कम वैल्यू आउटपुट 000007 बन जाए, न कि आंशिक कोड।

परिणाम 6-अंकों का वेरिफिकेशन कोड है जो authenticator और सर्वर द्वारा समान रूप से कैलकुलेट किया जाता है। जब आप लॉगिन के दौरान कोड टाइप करते हैं, तो सर्वर वर्तमान टाइम विंडो के लिए एक्सपेक्टेड कोड कैलकुलेट करता है और तुलना करता है। क्योंकि HMAC collision-resistant है, केवल shared secret धारण करने वाला ही वैध TOTP कोड प्रोड्यूस कर सकता है - यह आधुनिक 2FA सुरक्षा के पीछे का क्रिप्टोग्राफिक गणित है। हमारे इम्प्लीमेंटेशन में, यह सारी कंप्यूटेशन ब्राउज़र के Web Crypto API का उपयोग करके क्लाइंट-साइड होती है, इसलिए आपकी सीक्रेट की कभी सर्वर को नहीं छूती और हम जो कोड प्रोड्यूस करते हैं वे Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden, और सभी RFC 6238-कम्प्लायंट authenticators से बिल्कुल मेल खाते हैं।

2FA शब्दावली

विभिन्न सर्विसेज पर 2FA चालू करते समय आपको मिलने वाली सबसे आम टू-फैक्टर ऑथेंटिकेशन टर्मिनोलॉजी के लिए त्वरित संदर्भ।

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.