Senha de uso único baseada em tempo (TOTP).

O TOTP é um mecanismo de segundo fator amplamente utilizado em que a aplicação autenticadora do utilizador (Google Authenticator, Authy, 1Password) e o servidor partilham a mesma semente simétrica e calculam o mesmo hash HMAC-SHA1 sobre o tempo Unix atual dividido em janelas de 30 segundos. O código visível de 6 a 8 dígitos muda automaticamente e só é válido por um curto intervalo, o que limita o valor de códigos observados por cima do ombro ou capturados por phishing. Após o aprovisionamento da semente (normalmente por leitura de um código QR), o TOTP funciona totalmente offline. As suas principais fragilidades são os proxies de phishing em tempo real (AiTM) que retransmitem códigos, malware no dispositivo e o comprometimento da semente no servidor; quando possível, prefere-se FIDO2 e passkeys.