Verify API

O que significa TOTP e como funcionam as senhas de uso único

O TOTP combina uma chave secreta com a hora atual para gerar senhas únicas que expiram em segundos. Veja como ele protege suas contas.

By Kelsie Anderson

O que significa TOTP e como funcionam as senhas de uso único

Para concluir transações, as empresas costumam pedir aos clientes informações sensíveis: números de cartão, endereços ou qualquer outro dado pessoal identificável. E toda empresa sabe que falhar na proteção desses dados pode transformá-la em protagonista de manchetes sobre vazamentos. Para proteger as informações de clientes e funcionários, cada vez mais negócios adotam alguma forma de autenticação de dois fatores (2FA), e um dos métodos mais populares é a senha de uso único baseada em tempo, ou TOTP na sigla em inglês (time-based one-time password).

O que é um TOTP

Um TOTP gera uma senha única para cada tentativa de login. Diferentemente de uma senha convencional, um TOTP só é válido por um curto período de tempo. Ao combinar uma chave secreta com a hora atual, o algoritmo TOTP produz uma senha única que pode ser usada uma só vez.

Essa senha, que muda aproximadamente a cada 30 segundos, é normalmente gerada por um aplicativo no smartphone (como os apps autenticadores) ou por um token físico. Quando o usuário faz login em um site ou serviço que exige TOTP, ele digita a senha de uso único vigente junto com as credenciais habituais para concluir a autenticação. O padrão é definido pela IETF no RFC 6238 e é a base da maioria dos apps autenticadores que você já usa, por exemplo, para entrar no banco pelo celular ou nas ferramentas de trabalho.

Por que os TOTPs protegem melhor que as senhas

As senhas tradicionais são suscetíveis a tentativas de invasão: se um atacante obtém as credenciais de um usuário, ele consegue entrar na conta e acessar informações sensíveis, como dados pessoais ou financeiros. Os TOTPs foram projetados para impedir o acesso não autorizado mesmo que o invasor já tenha as credenciais, porque ele ainda precisaria do código vigente, que expira em segundos e nunca se repete.

Vantagens principais:

  • Validade curta: mesmo que alguém intercepte o código, não conseguirá usá-lo depois da janela de tempo.
  • Unicidade: cada TOTP é único e de uso único, o que elimina o risco de reutilização.
  • Geração offline: os apps autenticadores e os tokens físicos geram códigos sem precisar de rede, ideal para usuários com conectividade limitada.

TOTP vs. outros códigos de uso único

Um OTP (one-time password) é qualquer senha válida para uma única sessão ou transação; pode ser entregue por SMS, chamada, e-mail ou aplicativo. O TOTP é a variante baseada em tempo: o servidor e o dispositivo compartilham uma chave secreta e ambos calculam o mesmo código a partir da hora atual. Seu primo, o HOTP, gera códigos a partir de um contador de eventos em vez do relógio, então um código pode continuar válido até ser usado; por isso o TOTP, com expiração automática, é considerado mais seguro.

Nenhum método é perfeito: os TOTPs podem ser vítimas de phishing em tempo real, dependem de um segredo compartilhado que precisa ser bem guardado e exigem sincronização de relógio entre dispositivo e servidor. Por isso vale combiná-los com limites de tentativas e boas práticas de implementação.

Implemente a verificação com a Telnyx

Se você está construindo fluxos de autenticação para a sua aplicação, a Verify API da Telnyx cuida da geração, da entrega e da verificação de códigos de uso único por SMS, chamada de voz, flash call ou WhatsApp, com lógica de retentativas e limites de taxa inclusos, e com a opção de oferecer TOTP por app como método complementar para os seus usuários de maior valor.

Perguntas frequentes

O que significa TOTP?

TOTP é a sigla em inglês de time-based one-time password: uma senha de uso único baseada em tempo. Ela é gerada combinando uma chave secreta com a hora atual e se renova aproximadamente a cada 30 segundos.

Qual é a diferença entre OTP e TOTP?

Um OTP é qualquer senha de uso único, independentemente de como é gerada ou entregue. O TOTP é o tipo de OTP que usa a hora atual como fonte de unicidade, então cada código expira automaticamente em uma janela curta.

Preciso de internet para gerar um TOTP?

Não. Os apps autenticadores e os tokens físicos calculam o código localmente a partir da chave secreta e do relógio do aparelho, então funcionam offline; o que importa é a hora do dispositivo estar sincronizada.


Proteja as contas dos seus usuários com verificação confiável. Implemente códigos de uso único por SMS, voz, flash call ou WhatsApp com a Verify API da Telnyx. Agende uma demonstração gratuita com nossa equipe.

Share on Social