What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

المعايير · FIDO CTAP 2.2 هجين (رمز QR للمفتاح العبوري)

هل يجب أن أمسح رمز QR الخاص بتسجيل الدخول بالمفتاح العبوري؟

فقط إذا بدأتَ أنتَ للتوّ عملية تسجيل الدخول بالمفتاح العبوري على الجهاز الذي يعرض الرمز. إذا أنشأ الرمز أي شخص آخر، غريب أو موظف "دعم فني" أو متصل هاتفي، فإن مسحه بهاتفك سيُسجّل دخولهم إلى حسابك لا حسابك أنت. البروتوكول المفتوح (FIDO CTAP 2.2 هجين) متين؛ التهديد هو الهندسة الاجتماعية حول سؤال: من الذي ضغط أولاً على زر "تسجيل الدخول بمفتاح عبوري".

افحص رمز المفتاح العبوري → جميع المعايير →

كيف يعمل تسجيل الدخول بالمفتاح العبوري عبر الأجهزة

المفتاح العبوري هو بيانات اعتماد، زوج مفاتيح عامة/خاصة، مرتبط بأحد أجهزتك. إذا سجّلت مفتاحاً عبورياً لـexample.com على هاتفك، فهاتفك فقط هو الذي يستطيع توقيع تحدي تسجيل الدخول لـexample.com.

هذا يسير على ما يرام عند تسجيل الدخول من هاتفك مباشرةً. لكن ماذا يحدث عند تسجيل الدخول من حاسوب محمول لا يحتوي على مفتاح عبوري لذلك الموقع؟ يمكنك:

إدخال كلمة مرورك، وهذا يُبطل الغرض الكامل من المفاتيح العبورية.
تسجيل مفتاح عبوري جديد على الحاسوب المحمول، وهو خيار جيد إن كنت تثق بهذا الحاسوب على المدى البعيد.
استخدام مفتاح الهاتف العبوري عبر النقل بين الأجهزة، يعرض الحاسوب المحمول رمز QR، يمسحه هاتفك، يوقّع هاتفك على التحدي، يتلقى متصفح الحاسوب المحمول النتيجة وتُسجّل الدخول.

الخيار الثالث هو ما يُحدّده FIDO CTAP 2.2 "الهجين". الرمز هو نقطة الانطلاق؛ يحمل معلومات كافية لكي يكتشف هاتفك الحاسوب عبر Bluetooth منخفض الطاقة، ويُنشئ نفقاً آمناً لمرة واحدة، ويُوكّل عملية WebAuthn.

ما بداخل الرمز

يبدو الـ URI هكذا:

FIDO:/0123456789012345678901234567890123456789...

الأرقام العشرية هي ترميز base10 لخريطة CBOR. بعد فكّ ترميز base10 وتحليل CBOR، تحتوي الخريطة على مفاتيح صحيحة:

المفتاح 0، المفتاح العام للجانب الآخر

بايتات المفتاح العام غير المضغوطة X9.62 (33 بايت لـ P-256). يستخدمه الهاتف لإنشاء النفق المشفّر.

المفتاح 1، سر الرمز / nonce النفق

10 بايتات من البيانات العشوائية. يُحدّد هذا الرمز بالذات؛ يُذيع إعلان BLE تجزئته لكي يجد الهاتف الحاسوب المحمول الصحيح.

المفتاح 2، تلميح العملية

0 = make-credential (تسجيل مفتاح عبوري جديد)، 1 = get-assertion (تسجيل الدخول)، 2 = discoverable-credential.

المفتاح 3، نطاق خادم النفق

مضيف HTTPS الذي يُوكّل النفق بين الجهازين حين لا يُتاح BLE المباشر (مثلاً عبر NAT). عادةً خادم يشغّله البائع مثل cable.ua5v.com (Google) أو cable.auth.com (Apple/MS).

المفتاح 4، الطابع الزمني

الثواني منذ الحقبة حين أُنشئ الرمز. يُستخدم للحماية من إعادة التشغيل؛ يرفض الهاتف الرمز إذا تجاوز عمره بضع دقائق.

المفتاح 5، علم المساعدة بالحالة

قيمة منطقية. تُشير إلى ما إذا كان الحاسوب المحمول يريد أن يشارك الهاتف في الحفاظ على حالة سلبية (ذو صلة أساساً بتدفقات تعداد بيانات الاعتماد).

نموذج التهديد: من ضغط أولاً على "تسجيل الدخول بمفتاح عبوري"؟

البروتوكول سليم مشفّراً. فحص القرب عبر Bluetooth حقيقي ويُقيّد الهجوم بمن هو قريب منك جسدياً. إذن كيف تسوء الأمور؟

عبر الهندسة الاجتماعية على مرحلة البدء. يبدأ المهاجم عملية تسجيل دخول بمفتاح عبوري إلى حسابك على حاسوبه. يعرض حاسوبه رمز FIDO. يُوصل ذلك الرمز إليك بطريقة ما:

"الدعم الفني" يتصل بك ويطلب منك مسح رمز لـ"التحقق من حسابك".
مكالمة Zoom بـ"مشاركة الشاشة" يعرض فيها المهاجم الرمز ويطلب منك مسحه بهاتفك.
هجوم هندسة اجتماعية شخصي: يجلس المهاجم بجوارك في مقهى ويُظهر رمزاً طالباً مساعدته في "تسجيل الدخول".
رسالة تصيّد تطلب مسح رمز لـ"تأكيد هويتك لتسجيل الدخول الجديد". (رموز FIDO الحقيقية قصيرة الصلاحية؛ تصل الرسالة بعد انتهاء صلاحية الرمز، لكن المستخدم قد لا يعلم بذلك.)

إذا مسحت الرمز، يُوكّل هاتفك توقيع مفتاحك العبوري إلى متصفح حاسوب المهاجم. يعتقد الموقع الذي لديك فيه مفتاح عبوري أنك سجّلت الدخول. المهاجم الآن داخل حسابك.

لاحظ أن فحص القرب لا يُفيد؛ المهاجم موجود جسدياً. محتوى الرمز لا يُفيد؛ صالح مشفّراً. وجهة تسجيل الدخول لا تُفيد؛ هو الموقع الصحيح الذي لديك فيه مفتاح عبوري. الشيء الوحيد الذي يُفيد هو إدراك الموقف: يجب ألا تمسح رمز FIDO إلا إذا أنشأتَه أنت بالضغط على "تسجيل الدخول" على جهازك الخاص.

ما يُظهره ماسحنا

حين تُسقط رمز FIDO في ماسحنا، يُظهر الحكم:

تلميح العملية: هل هذه عملية تسجيل دخول، أم تسجيل مفتاح عبوري، أم عملية discoverable-credential؟
نطاق خادم النفق: هل يتطابق مع بائع تعرفه (مثل cable.ua5v.com من Google، أو خادم نفق Apple، إلخ)؟
الطابع الزمني للرمز: هل أُنشئ للتوّ، أم هو قديم ويُعاد تشغيله على الأرجح؟
طول المفتاح العام وطول سر الرمز: فحوصات للتأكد من سلامة بنية الرمز.

فئة التهديد هي دائماً مشبوه، ليس لأن البروتوكول معطوب بل لأن الحكم الأمني سياقي ولا يستطيع الماسح معرفة من ضغط على "تسجيل الدخول". يُخبرك إفصاح الحكم بذلك بالضبط: "مسح هذا الرمز يُكمل تسجيل دخول بدأه شخص ما على جهاز آخر. إذا لم تبدأ عملية تسجيل دخول للتوّ، ارفض."

متى يكون آمناً (ومتى لا يكون)

آمن: جلستَ أمام حاسوبك المحمول، وفتحت موقع بنكك أو بريدك الإلكتروني، وضغطت على "تسجيل الدخول بمفتاح عبوري"، وعرض الحاسوب الرمز. تمسك الهاتف، تمسح الرمز، تُقرّ طلب القرب. انتهى.

غير آمن: أي شخص غيرك بدأ عملية تسجيل الدخول. يشمل ذلك أي شخص عبر الهاتف، أو في مكالمة دعم عن بُعد، أو أرسل إليك رمزاً عبر البريد الإلكتروني، أو أظهر لك "رمزاً للتحقق من هويتك"، وأي رمز في مكان ليس جهازك الخاص المعروض حديثاً.

إذا لم تكن متأكداً من أن الرمز جاء من عملية تسجيل دخول بدأتها أنت، ألغِ عملية تسجيل الدخول على الجهاز الأصلي (أغلق علامة تبويب المتصفح)، ثم أعد البدء من الصفر على الجهاز الذي تريد استخدامه. رموز FIDO الحقيقية صالحة لـ 10 دقائق فقط؛ إعادة البدء تُمسح أي جلسة قيد التنفيذ وتجعل التهديد مستحيلاً.

افحص رمز FIDO

أسقط الصورة أو الصق FIDO: URI. يُظهر الحكم العملية وخادم النفق والطابع الزمني وتحذيراً صارماً بالرفض ما لم تبدأ عملية تسجيل الدخول بنفسك.

افتح الماسح →