Contraseña de un solo uso basada en tiempo (TOTP)

TOTP es un mecanismo de segundo factor muy difundido en el que la aplicación autenticadora del usuario (Google Authenticator, Authy, 1Password) y el servidor comparten una semilla simétrica y calculan el mismo hash HMAC-SHA1 sobre el tiempo Unix actual dividido en ventanas de 30 segundos. El código visible de 6 a 8 dígitos cambia automáticamente y solo es válido durante un breve intervalo, lo que limita el valor de los códigos espiados o robados por phishing. TOTP funciona sin conexión una vez provisionada la semilla, normalmente escaneando un código QR. Sus debilidades principales son los proxies de phishing en tiempo real (AiTM) que retransmiten códigos, el malware en el dispositivo y el compromiso de la semilla en el servidor; cuando es posible se prefieren FIDO2 y las passkeys.