Google Authenticator
Deze variant van HOTP gebruikt geen teller, maar genereert een code die 30 seconden geldig blijft. Deze variant wordt Time-based One-Time Password (TOTP) genoemd, maar is waarschijnlijk beter bekend onder de naam van de populairste app waarin dit procedé is geïmplementeerd: Google Authenticator. Bij HOTP genereert de gebruiker een sleutel en stuurt deze naar de dienst. Bij TOTP werkt dat andersom. De dienst genereert een willekeurige sleutel en toont die als QR-code op het beeldscherm. Deze QR-code wordt vervolgens met de TOTP-app gescand. Google Authenticator beveiligt eenvoudig sleutels voor meerdere accounts en toont ook alle bijbehorende codes. Omdat elk account een eigen sleutel gebruikt, komen andere accounts niet in gevaar wanneer één van de diensten gehackt is.
Authenticator vervangt de codes na 30 seconden telkens door een nieuwe. De diensten controleren dan meestal ook de codes uit het vorige en eerstvolgende tijdsinterval, zodat je een code die je net onthouden hebt ook nog rustig kunt intypen als Authenticator de volgende code al aangeeft.
Veruit de meeste diensten gebruiken TOTP als 2FA-methode. Naast je Google-account kun je ook Amazon, Facebook, Twitter, Microsoft, Steam (alleen mobiel), Origin, GitHub en Dropbox beveiligen. Hoe je het inlogproces in je eigen webapp integreert, hebben we uitgelegd in [1].