2FAPRO.COM

双重验证(2FA)动态码生成器

为Google、Facebook、Instagram等服务通过密钥生成TOTP动态码。

输入您要使用的服务提供的2FA密钥。空格和格式会自动清理。

您的密钥仅在本机处理,绝不存储于服务器。

扫描二维码

分享此工具

已保存的账户

暂无保存的账户

从生成器标签添加账户或从备份导入

最近使用的密钥

暂无历史记录

生成的动态码将显示在这里

使用帮助

什么是2FA/TOTP?

双重验证(2FA)是需要两种身份凭证的安全机制。TOTP是生成30秒更新的一次性密码的算法。

如何获取密钥?

安全保障

本工具仅在浏览器本地处理密钥,绝不存储或传输数据。但请始终妥善保管您的密钥。

兼容服务

支持所有采用TOTP标准的服务,包括Google、Facebook、Twitter、Microsoft、GitHub、Dropbox、Amazon等主流云服务和社交平台。

双因素认证(2FA)完整指南

关于 2FA、TOTP 验证码、authenticator 应用,以及如何使用双因素认证保护在线账户安全的全部知识。

3 个简单步骤生成 2FA 验证码

  1. 1

    复制您的 Secret Key

    在 Google、Facebook、GitHub 或其他服务启用双因素认证时,请复制 QR code 旁边显示的 Base32 secret key。

  2. 2

    粘贴并生成 TOTP

    将 secret key 粘贴到上方的 2FA 生成器输入框,点击 Generate Code。全新的 6 位 TOTP 验证码会立即在您的浏览器中计算生成。

  3. 3

    使用 2FA 验证码登录

    在 30 秒计时器结束之前,将 6 位验证码输入登录表单。每次新登录验证码会自动刷新。

支持我们 2FA 生成器的热门服务与平台

我们的 2FA 验证码生成器与所有遵循 RFC 6238 TOTP 标准的服务完全兼容。以下是您可以使用此 authenticator 的最热门平台:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

为什么选择我们的免费 2FA TOTP 生成器

100% 私密与本地

所有 TOTP 验证码生成都在您的浏览器本地完成。2FA secret key 从不发送到任何服务器,您的 authenticator 数据完全私密。

即时 6 位验证码

即时生成基于时间的一次性密码,每 30 秒自动刷新。可作为 Google Authenticator、Authy 和 Microsoft Authenticator 的完整替代品使用。

内置 QR code 扫描器

使用摄像头扫描任何 2FA QR code 或上传图片。工具会自动读取 otpauth URI,您无需手动输入 Base32 secret key。

TOTP 与 HOTP 模式

可切换基于时间的算法(TOTP / RFC 6238)与基于计数器的算法(HOTP / RFC 4226)。支持 SHA-1、SHA-256 和 SHA-512 哈希。

关于 2FA 的常见问题解答

什么是 2FA(双因素认证)?
2FA 即双因素认证,是一种安全机制,访问账户时需要两个不同的验证步骤:您知道的信息(密码)和您拥有的东西(来自 authenticator 应用的 2FA 验证码)。即使黑客窃取了密码,没有基于时间的 2FA 验证码也无法登录。
此 2FA 生成器与 Google Authenticator 兼容吗?
是的。我们的在线 2FA 生成器采用与 Google Authenticator、Microsoft Authenticator、Authy 和 1Password 完全相同的 RFC 6238 TOTP 算法。对于相同的 secret key,此处生成的 6 位验证码与这些应用生成的完全一致。
为什么我的 2FA 验证码每 30 秒变化一次?
TOTP 验证码是基于时间的一次性密码,由当前 Unix 时间戳和您的 secret key 派生,按固定间隔(通常为 30 秒)轮换。短暂的有效期可防止重放攻击,确保双因素认证的安全性。
在此网站输入 2FA secret key 安全吗?
安全。所有 2FA 验证码生成都使用 Web Crypto API 在您的浏览器本地完成。Secret key 不会离开您的设备,也不会发送到任何服务器。为了最大限度的安全,请始终像对待密码一样对待 secret key,不要分享。
TOTP 与 HOTP 有什么区别?
TOTP(Time-based One-Time Password,RFC 6238)基于当前时间生成验证码,这就是为什么它每 30 秒变化一次。HOTP(HMAC-based One-Time Password,RFC 4226)使用递增计数器。两者都是 2FA 验证码类型,目前 TOTP 更为常用。
我可以将其作为主要 authenticator 应用使用吗?
可以。您可以在 My Accounts 标签页中保存多个 2FA 账户,使用加密本地存储、加密备份导出,并可在其他设备恢复。此工具作为渐进式 Web 应用(PWA)运行,可像原生 authenticator 一样安装。
如果我的 2FA 验证码被网站拒绝怎么办?
2FA 验证码错误通常意味着您设备的时钟未同步,或 secret key 复制错误。请确保 Base32 secret 没有多余空格,系统时间设为自动,并在 30 秒刷新后尝试下一个验证码。
此 2FA 工具可以离线使用吗?
可以。首次访问后,authenticator 会被 service worker 缓存,因此即使没有网络连接也能生成 TOTP 验证码。非常适合旅行时或主 authenticator 应用不可用时使用。

为什么 2026 年双因素认证依然重要

仅靠密码已不再足够。每年都有数十亿凭据在数据泄露中流出,先进的 phishing kit 甚至可以突破复杂密码。双因素认证,也称 2FA、multi-factor authentication(MFA)或两步验证,增加了远程攻击者难以绕过的第二层防护。

像这样的 TOTP authenticator 是最广泛支持的 2FA 方法,适用于 Google、Microsoft、Apple ID、GitHub、Facebook、Instagram、Snapchat、TikTok、Steam、Epic Games、Fortnite、Discord 以及几乎所有主要在线服务。配合每 30 秒轮换一次的全新 6 位 2FA 验证码,泄露的密码单独便毫无用处。

请在所有可能的地方启用 2FA,包括邮箱、社交媒体、加密货币交易所、云存储、网上银行和游戏账户。与强密码管理器、各站点独特的密码相结合,正确配置的双因素认证是您可以进行的最大在线安全升级之一。

2FA 方法类型对比:SMS、TOTP、硬件密钥、生物识别

如今有多种类型的双因素认证可供选择,每种都有不同的安全等级与便利性。了解这些选项可以帮助您为每个账户选择合适的 2FA 方法,从日常游戏登录到高价值的银行和加密货币账户。下面我们公正地对比 2026 年您会遇到的每种主要 2FA 形式,包含优点、缺点和我们的建议。

2FA 方法 安全保障 便利性 适用场景
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA 是最常见的双因素认证形式,因为它适用于所有手机。输入密码后,一条包含 6 位验证码的短信会发送到您的号码。虽然便利,但 SMS 2FA 容易遭受 SIM swapping 攻击,攻击者会欺骗运营商将您的号码转移到他们的设备。NIST 已弃用 SMS 作为高价值账户的安全 2FA 方法,主要银行也越来越推荐切换到 TOTP authenticator 应用。

Authenticator apps (TOTP) 如 Google Authenticator、Microsoft Authenticator、Authy 和 1Password,它们在您的设备上本地生成基于时间的一次性密码,无需网络连接。这使 TOTP 2FA 更快、更安全,对 SIM swap 攻击免疫。验证码基于 RFC 6238 标准每 30 秒轮换,同一 secret key 在所有兼容 authenticator 上都能使用,包括此浏览器生成器。

Hardware security keys 如 YubiKey、Google Titan、SoloKeys 和 Feitian,使用 FIDO2 / WebAuthn 标准通过 USB、NFC 或 Bluetooth 设备证明物理持有。硬件密钥是 2FA 安全的黄金标准,因为它们抗 phishing,虚假登录页面无法像 TOTP 验证码那样收集加密签名。请将硬件密钥用于最关键的账户:主邮箱、密码管理器、加密货币交易所和工作身份。

Push notification 2FA 如 Duo Mobile、Microsoft Authenticator push 提示和 Okta Verify 应用,会向您的手机发送确认点按。比输入 6 位 2FA 验证码更便利,但需要服务支持,且容易受到 MFA fatigue 攻击,攻击者会垃圾发送批准请求,期望您因疏忽而点按 Approve。

Biometric 2FA and passkeys 使用指纹或面部识别,通常与绑定设备的 passkey 结合。Apple Face ID、Windows Hello 和 Android 指纹扫描仪越来越多被用作已登录设备的第二因素。基于 FIDO2 / WebAuthn 的 passkey 正在 Google、Apple、Microsoft、GitHub 和越来越多的服务中逐渐取代密码和 TOTP 2FA,这是认证的未来。

我们的建议: 将 TOTP authenticator 应用作为主要 2FA 方法,对于最关键的账户(主邮箱、密码管理器、加密货币、工作身份)再加上硬件安全密钥。尽可能避免 SMS 2FA,并始终将 backup codes 离线保存在安全的地方。

如何在热门服务上启用 2FA(逐步指南)

在每个平台上设置双因素认证略有不同,但所有主要服务的核心流程相同。以下是在最热门平台上启用 2FA 的快速逐步指南,所有平台都与此 TOTP 生成器无缝配合。

在 Google / Gmail 上启用 2FA

访问 myaccount.google.com,然后进入 Security、2-Step Verification、Get Started。使用密码登录,选择 Authenticator app。Google 会显示一个 QR code,用我们的 TOTP 生成器扫描或粘贴 Base32 secret key。Google 还支持 Google Prompt 通知和硬件安全密钥作为 Gmail 和 Google 账户的额外 2FA 方法。

在 Facebook / Meta 上启用 2FA

点击您的 Facebook 头像,打开 Settings and Privacy、Settings、Accounts Center、Password and security、Two-factor authentication。选择 Authentication app,扫描 QR code 或将 secret key 复制到我们的 2FA 验证码生成器。Facebook 允许 SMS 作为备用,但强烈推荐 authenticator 应用 2FA 以获得更好的安全性。

在 Discord 上启用 2FA

打开 Discord,进入 User Settings(齿轮图标)、My Account、Enable Two-Factor Auth。输入密码,然后使用显示的 QR code 或手动 Base32 key 与我们的 2FA 验证码生成器。请立即保存 Discord backup codes,如果失去 authenticator 访问权限,Discord 会要求这些验证码进行账户恢复。

在 GitHub 上启用 2FA

进入 Settings、Password and authentication、Two-factor authentication、Enable。选择 Set up using an app,用我们的 2FA 工具或任何 RFC 6238 authenticator 生成 TOTP 验证码。GitHub 还支持 FIDO2 安全密钥作为附加因素,并要求敏感仓库的所有贡献者使用 2FA。

在 Microsoft / Outlook 上启用 2FA

访问 account.microsoft.com、Security、Advanced security options、Two-step verification、Turn on。Microsoft 更推荐其 Microsoft Authenticator 应用,但任何 RFC 6238 TOTP 生成器(包括我们的)都能完全相同工作。同一 2FA 设置覆盖 Outlook、Xbox、Microsoft 365、Teams、OneDrive 以及所有其他 Microsoft 服务。

在 Fortnite / Epic Games 上启用 2FA

访问 epicgames.com,然后进入 account、password-and-security、Two-factor authentication、Enable Authenticator App。用我们的 2FA 生成器扫描 QR code。在 Fortnite 上启用 2FA 还会奖励 Boogiedown emote,并提升 Rocket League 和 Epic Games Store 账户的安全性。

在 Binance / Coinbase / Kraken 上启用 2FA

所有主要加密货币交易所 Binance、Coinbase、Kraken、Gemini、KuCoin、Bitstamp 都要求 2FA 才能提币。在每个交易所的 security 标签页启用 Google Authenticator 兼容性,并将 secret key 保存在密码管理器中。如果没有 backup codes 就失去加密货币账户的 2FA 访问权限,可能会永久锁定您的资金。

在 Instagram / TikTok / Snapchat 上启用 2FA

Instagram、TikTok 和 Snapchat 都通过 Settings、Security 菜单支持 authenticator 应用 2FA。每个应用都会生成与任何 RFC 6238 TOTP 工具兼容的 QR code。鉴于社交账户经常成为账户盗窃和转售的目标,在 2026 年,在每个社交媒体账户上启用双因素认证都是必须的。

在任何服务上启用 2FA 后,请立即通过登出并重新登录来测试,在您真正需要之前确认 authenticator 验证码正确工作,并且您已安全保存恢复 backup codes。

每位用户都应遵循的 2FA 安全最佳实践

启用双因素认证只是工作的一半。遵循以下最佳实践可使您的 2FA 设置免受针对 authenticator 应用、SMS 验证码和恢复流程的现代威胁。即使只采用下列一半做法,您在 2FA 卫生方面就已超越 95% 的用户。

  • 始终保存您的 backup codes。 支持 2FA 的每项服务在您启用 authenticator 时都会生成 8 到 10 个一次性恢复验证码。请打印、保存到密码管理器或加密笔记中。没有 backup codes,丢失手机可能意味着永久失去账户,没有客服能在无身份证明的情况下恢复强化的 2FA 账户。
  • 使用多个 authenticator 设备。 从此工具导出 2FA 备份并导入第二设备,或使用 Authy / 1Password 在设备间原生同步 TOTP secret。Google Authenticator 现在也有官方 QR 导出功能。拥有第二设备意味着最糟情况下手机丢失或损坏时,您不会被切断所有 2FA 账户的访问。
  • 警惕 MFA fatigue 攻击。 知道您密码的攻击者可能会发送大量 2FA push 通知请求,期望您出于习惯或烦躁而点按 Approve。这种方式在 Uber 等高知名度泄露事件中被使用。请始终检查哪个应用请求确认,拒绝意外的提示,合法登录很少在深夜无缘无故触发 2FA 请求。
  • 防范 SIM swapping。 即使您避免使用 SMS 2FA,手机号码通常仍与账户恢复流程绑定。请要求运营商在您的账户上添加 PIN 或 port-out 保护,以防罪犯将 SIM 转移到他们的设备。仅此一项更改就可阻止大多数 SIM swap 攻击,并且在所有主要运营商处均免费。
  • 将 2FA 与密码管理器结合使用。 每个站点独特的强密码加上 TOTP 2FA,再加上关键账户的硬件安全密钥,是 2026 年账户安全的黄金标准。1Password、Bitwarden、LastPass 和 KeePass 可以与密码一起存储 TOTP secret,有些甚至能同时自动填充两个字段以实现无缝登录体验。
  • 永远不要分享 2FA 验证码,即使对支持人员也不要。 没有合法公司、银行或在线平台会要求您大声读出 6 位 2FA 验证码、输入聊天或通过邮件发送。如果有人提出这种要求,无论他们自称是技术支持、您的银行还是快递员,那都是骗局。请挂断电话并通过官方号码或网站直接联系该公司。
  • 每年审计一次您的 2FA 设置。 列出您启用双因素认证的每个账户。移除不再使用账户上的 2FA,在新创建的账户上启用,并验证 backup codes 仍然有效。年度 2FA 审计能够发现过时的恢复邮箱、旧手机号码和被遗忘的 authenticator seed。
  • 在可用时升级到 passkey。 FIDO2 / WebAuthn passkey 正在 Google、Apple、Microsoft、GitHub、PayPal 以及数百种其他服务上逐渐取代密码和 TOTP 2FA。Passkey 天生抗 phishing,并绑定到设备的 secure enclave。当某个站点提供 passkey 时,请启用它,不要仅依赖 2FA 验证码。

排查常见 2FA 问题

即使配置良好的双因素认证设置也可能遇到问题。以下是用户面临的最常见 2FA 问题,以及无需联系支持即可解决大部分问题的实用修复方法。

\"Invalid 2FA code\" 或\"验证码错误\"

最常见的原因是设备时钟漂移。TOTP 依赖准确时间,30 秒的偏移就会导致验证码不匹配。在 Android 上:Settings、System、Date and time、Set time automatically。在 iOS 上:Settings、General、Date and Time、Set Automatically。在 Windows 上:Settings、Time and language、Date and time、Set time automatically。服务器通常接受正负 1 窗口内的验证码,因此在 30 秒刷新后尝试下一个验证码通常有效。

手动输入时 secret key 拼写错误

Base32 仅使用 A 到 Z 和 2 到 7,没有 0、1、8 或 9。易混字符如 O 与 0 或 I 与 1 会导致一切出错。请直接从服务的 QR code 复制 secret key,而不是手动输入,或使用我们内置的 QR 扫描器。许多服务还允许在 QR code 旁显示明文 secret 以便更轻松地手动输入。

丢失了装有 authenticator 应用的手机

首先,尝试使用 backup codes,大多数服务在您无法访问 2FA authenticator 时会要求其中一个。如果您已导出或同步了 TOTP secret,请在新设备上恢复。作为最后手段,联系服务支持团队并按照其账户恢复流程进行,通常涉及政府颁发身份证或其他 secret 验证。切勿向第三方 2FA 恢复服务付费,它们都是骗局。

QR code 无法扫描

光线、相机对焦和屏幕反光是常见原因。请尝试将 QR 下载为图片文件并上传到我们的图像扫描器,或手动输入显示的 Base32 secret key。请确保没有浏览器扩展修改了 QR 显示。

账户完全被 2FA 锁定

大多数服务支持通过政府身份证、信用卡最后 4 位、恢复邮箱或可信联系人进行身份验证。社交登录(Google、Apple、Microsoft)通常可以通过父账户的 2FA 解锁。加密货币交易所最严格,请做好多日 KYC 流程的准备。请妥善记录您的身份并遵循每项服务的官方恢复流程。

Push 通知未送达

请确保 authenticator 应用具有通知权限、专门为其禁用电池优化,并且设备具有可用的互联网访问。在 Android 上,一些激进的电池节省器会关闭后台 authenticator 服务,请将您的 2FA 应用加入白名单。重启应用通常会刷新 push token。

TOTP 幕后工作原理(技术深度解析)

对技术好奇的读者,以下是按照 RFC 6238 逐步生成 2FA TOTP 验证码的方式,即我们的 2FA 生成器内部使用的相同算法,也是 Google Authenticator、Microsoft Authenticator、Authy 和所有其他兼容 authenticator 所遵循的相同算法。

  1. 1. Shared secret。 当您在服务上启用 2FA 时,服务器和您的 authenticator 应用会约定一个随机的 secret key,通常为 160 位(20 字节),采用 Base32 编码以便人类阅读显示。此 shared secret 在正常操作中从不离开双方。
  2. 2. 时间计数器。 取当前 Unix 时间戳,除以 30,取地板值。这产生一个每 30 秒在双方递增的整数计数器。使用时间作为计数器意味着服务器与 authenticator 之间不需要状态同步,双方独立计算相同的值。
  3. 3. HMAC-SHA1。 以 shared secret 为密钥、8 字节大端计数器为消息,计算 HMAC-SHA1 哈希。输出是 20 字节的加密哈希。现代实现还支持 HMAC-SHA256 和 HMAC-SHA512,当双方同意算法时可实现更强的 2FA。
  4. 4. Dynamic truncation。 取哈希的最后一个字节,掩码低 4 位以获取偏移(0 到 15)。从哈希的该偏移处提取 4 个字节,清除高位,将结果视为 32 位整数。这是 RFC 4226(HOTP)中的 dynamic truncation 算法,是 TOTP 的基础。
  5. 5. 取模得到数字。 计算 32 位整数对 10 的位数次方取模,通常标准 6 位 2FA 验证码为 10 的 6 次方,某些银行服务为 10 的 8 次方。必要时在前面补零,使 7 这样的小值输出为 000007,而不是部分验证码。

结果是一个 6 位验证码,由 authenticator 和服务器以完全相同的方式计算。当您在登录时输入验证码时,服务器为当前时间窗口计算预期验证码并进行比较。由于 HMAC 具有抗碰撞性,只有持有 shared secret 的一方才能生成有效的 TOTP 验证码,这就是现代 2FA 安全背后的加密数学。在我们的实现中,所有这些计算都使用浏览器的 Web Crypto API 在客户端完成,因此您的 secret key 从不接触服务器,我们生成的验证码与 Google Authenticator、Authy、Microsoft Authenticator、1Password、Bitwarden 以及所有符合 RFC 6238 的 authenticator 完全匹配。

双因素认证术语表

在各种服务上启用 2FA 时您会遇到的最常见双因素认证术语的快速参考。

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.