What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

স্ট্যান্ডার্ড · FIDO CTAP 2.2 হাইব্রিড (পাসকি QR)

আমি কি এই পাসকি সাইন-ইন QR স্ক্যান করব?

শুধুমাত্র যদি QR দেখাচ্ছে এমন ডিভাইসে আপনি নিজেই এইমাত্র পাসকি সাইন-ইন শুরু করে থাকেন। অন্য কেউ যদি QR তৈরি করে থাকে, কোনো অপরিচিত ব্যক্তি, একজন "হেল্পডেস্ক" এজেন্ট, একটি টেক-সাপোর্ট কল, তাহলে আপনার ফোনে সেটি স্ক্যান করলে তা আপনাকে নয়, তাদেরকেই আপনার অ্যাকাউন্টে সাইন ইন করিয়ে দেয়। প্রোটোকলের ওপেন স্ট্যান্ডার্ড (FIDO CTAP 2.2 হাইব্রিড) মজবুত; হুমকিটি হলো কে আগে "পাসকি দিয়ে সাইন ইন করুন" বোতামটি চাপলো তা ঘিরে সোশ্যাল ইঞ্জিনিয়ারিং।

একটি পাসকি QR চেক করুন → সব স্ট্যান্ডার্ড →

ক্রস-ডিভাইস পাসকি সাইন-ইন কীভাবে কাজ করে

একটি পাসকি হলো একটি ক্রেডেনশিয়াল, একটি পাবলিক/প্রাইভেট কী জোড়া, যা আপনার একটি ডিভাইসের সাথে বাঁধা। আপনি যদি আপনার ফোনে example.com-এর জন্য একটি পাসকি নিবন্ধন করে থাকেন, তবে শুধুমাত্র আপনার ফোনই example.com-এর লগইন চ্যালেঞ্জে সাইন করতে পারে।

আপনি যখন আপনার ফোনে সাইন ইন করছেন তখন এটি ঠিকঠাক কাজ করে। কিন্তু আপনি যখন এমন একটি ল্যাপটপে সাইন ইন করছেন যেখানে ওই সাইটের জন্য কোনো পাসকি নেই, তখন কী হয়? আপনি পারেন:

আপনার পাসওয়ার্ড টাইপ করুন, পাসকির পুরো উদ্দেশ্যই ব্যর্থ হয়।
ল্যাপটপে একটি নতুন পাসকি নথিভুক্ত করুন, ঠিক আছে, তবে শুধু যদি আপনি এই ল্যাপটপটিকে দীর্ঘমেয়াদে বিশ্বাস করেন।
ক্রস-ডিভাইস ট্রান্সপোর্টের মাধ্যমে ফোনের পাসকি ব্যবহার করুন, ল্যাপটপ একটি QR দেখায়, আপনার ফোন সেটি স্ক্যান করে, ফোন চ্যালেঞ্জে সাইন করে, ল্যাপটপের ব্রাউজার ফলাফল গ্রহণ করে এবং আপনি সাইন ইন হয়ে যান।

অপশন 3 হলো যা FIDO CTAP 2.2 "হাইব্রিড" সংজ্ঞায়িত করে। QR হলো বুটস্ট্র্যাপ, এটি আপনার ফোনের জন্য Bluetooth Low Energy-র মাধ্যমে ল্যাপটপ খুঁজে পেতে, একটি একবারের সুরক্ষিত টানেল প্রতিষ্ঠা করতে এবং WebAuthn অনুষ্ঠানটি প্রক্সি করতে যথেষ্ট তথ্য বহন করে।

QR-এর ভেতরে কী আছে

URI দেখতে এরকম:

FIDO:/0123456789012345678901234567890123456789...

দশমিক অঙ্কগুলো হলো একটি CBOR ম্যাপের base10 এনকোডিং। base10 ডিকোড + CBOR পার্স করার পর, ম্যাপটিতে পূর্ণসংখ্যা কী থাকে:

কী 0, পিয়ার পাবলিক কী

আনকম্প্রেসড X9.62 পাবলিক-কী বাইট (P-256-এর জন্য 33 বাইট)। ফোন এটি ব্যবহার করে এনক্রিপ্টেড টানেল প্রতিষ্ঠা করে।

কী 1, QR সিক্রেট / টানেল ননস

10 বাইট র‍্যান্ডম ডেটা। এই নির্দিষ্ট QR শনাক্ত করে; BLE বিজ্ঞাপন এর একটি হ্যাশ সম্প্রচার করে যাতে ফোন সঠিক ল্যাপটপ খুঁজে পায়।

কী 2, অপারেশন হিন্ট

0 = make-credential (নতুন পাসকি নিবন্ধন), 1 = get-assertion (সাইন ইন), 2 = discoverable-credential।

কী 3, টানেল-সার্ভার ডোমেইন

যে HTTPS হোস্ট সরাসরি BLE পৌঁছানো না গেলে (যেমন NAT-এর ওপারে) দুটি ডিভাইসের মধ্যে টানেল প্রক্সি করে। সাধারণত একটি ভেন্ডর-পরিচালিত সার্ভার যেমন cable.ua5v.com (Google) বা cable.auth.com (Apple/MS)।

কী 4, টাইমস্ট্যাম্প

QR তৈরি হওয়ার সময় seconds-since-epoch। রিপ্লে সুরক্ষার জন্য ব্যবহৃত, ফোন কয়েক মিনিটের বেশি পুরোনো একটি QR মানতে অস্বীকার করে।

কী 5, স্টেট-অ্যাসিস্টেড ফ্ল্যাগ

বুলিয়ান। ল্যাপটপ ফোনকে প্যাসিভ স্টেট-কিপিং-এ অংশ নিতে চায় কিনা তা নির্দেশ করে (বেশিরভাগ ক্ষেত্রে ক্রেডেনশিয়াল-এনিউমারেশন ফ্লো-র জন্য প্রাসঙ্গিক)।

হুমকি মডেল: কে আগে "পাসকি দিয়ে সাইন ইন করুন" চাপলো?

প্রোটোকলটি ক্রিপ্টোগ্রাফিকভাবে নিখুঁত। Bluetooth প্রক্সিমিটি চেক বাস্তব এবং আক্রমণটিকে আপনার শারীরিকভাবে কাছে থাকা ব্যক্তির মধ্যে সীমাবদ্ধ রাখে। তাহলে এটি কীভাবে ভুল হয়?

শুরু করা-র সময় সোশ্যাল ইঞ্জিনিয়ারিং-এর মাধ্যমে। আক্রমণকারী তাদের ল্যাপটপে আপনার অ্যাকাউন্টে একটি পাসকি সাইন-ইন শুরু করে। তাদের ল্যাপটপ একটি FIDO QR দেখায়। তারা কোনোভাবে সেই QR আপনার সামনে নিয়ে আসে:

"টেক সাপোর্ট" আপনাকে কল করে এবং আপনার "অ্যাকাউন্ট যাচাই" করতে একটি QR স্ক্যান করতে বলে।
একটি "শেয়ারড স্ক্রিন" Zoom কল যেখানে আক্রমণকারীর স্ক্রিন QR দেখাচ্ছে এবং আপনাকে এটি আপনার ফোনে স্ক্যান করতে বলে।
একটি সশরীরে সোশ্যাল-ইঞ্জিনিয়ারিং আক্রমণ, আক্রমণকারী একটি কফি শপে আপনার পাশে বসে, একটি QR দেখায়, "লগইন" করতে সাহায্য চায়।
একটি ফিশিং ইমেইল যা আপনাকে "নতুন লগইনের জন্য আপনার পরিচয় নিশ্চিত করতে" একটি QR স্ক্যান করতে বলে। (আসল FIDO QR স্বল্পস্থায়ী; QR মেয়াদ শেষ হওয়ার অনেক পরে একটি ইমেইল আসে, কিন্তু ব্যবহারকারী হয়তো তা জানেন না।)

আপনি যদি স্ক্যান করেন, আপনার ফোন আপনার পাসকি স্বাক্ষর আক্রমণকারীর ল্যাপটপের ব্রাউজারে প্রক্সি করে। আপনার যে সাইটের জন্য পাসকি আছে সেটি মনে করে আপনি সাইন ইন করেছেন। আক্রমণকারী এখন আপনার অ্যাকাউন্টে লগ ইন।

লক্ষ্য করুন প্রক্সিমিটি চেক সাহায্য করে না, আক্রমণকারী শারীরিকভাবে উপস্থিত। QR-এর বিষয়বস্তু সাহায্য করে না, সেগুলো ক্রিপ্টোগ্রাফিকভাবে বৈধ। লগইন গন্তব্য সাহায্য করে না, এটি সঠিক সাইট যার জন্য আপনার পাসকি আছে। একমাত্র যা সাহায্য করে তা হলো পরিস্থিতি চিনতে পারা: আপনার নিজের ডিভাইসে "সাইন ইন" ক্লিক করে নিজে তৈরি করেননি এমন কোনো FIDO QR আপনার কখনোই স্ক্যান করা উচিত নয়।

আমাদের স্ক্যানার যা প্রকাশ করে

আপনি যখন আমাদের স্ক্যানারে একটি FIDO QR ড্রপ করেন, তখন রায় দেখায়:

অপারেশন হিন্ট, এটি কি একটি সাইন-ইন, একটি পাসকি নথিভুক্তি, নাকি একটি discoverable-credential অপারেশন?
টানেল-সার্ভার ডোমেইন, এটি কি আপনার পরিচিত কোনো ভেন্ডরের সাথে মেলে (Google-এর cable.ua5v.com, Apple-এর টানেল সার্ভার, ইত্যাদি)?
QR-এর টাইমস্ট্যাম্প, এটি কি সদ্য তৈরি, নাকি বাসি এবং সম্ভবত রিপ্লে করা?
পিয়ার-পাবলিক-কী দৈর্ঘ্য এবং QR-সিক্রেট দৈর্ঘ্য, QR কাঠামোগতভাবে বৈধ কিনা তার স্যানিটি চেক।

হুমকি শ্রেণি সর্বদা সন্দেহজনক, প্রোটোকল ভাঙা বলে নয় বরং নিরাপত্তার সিদ্ধান্তটি প্রাসঙ্গিক এবং স্ক্যানার জানতে পারে না কে "সাইন ইন" চেপেছে। রায়ের প্রকাশ আপনাকে ঠিক সেটাই বলে: "স্ক্যান করলে এমন একটি সাইন-ইন সম্পন্ন হয় যা কেউ অন্য একটি ডিভাইসে শুরু করেছে। আপনি যদি নিজে এইমাত্র কোনো লগইন শুরু না করে থাকেন, প্রত্যাখ্যান করুন।"

কখন এটি নিরাপদ (এবং কখন নয়)

নিরাপদ: আপনি আপনার ল্যাপটপে বসলেন, আপনার ব্যাংক বা ইমেইল সাইট খুললেন, "পাসকি দিয়ে সাইন ইন করুন" ক্লিক করলেন, এবং আপনার ল্যাপটপ QR দেখালো। আপনি ফোন তুলে নিয়ে QR স্ক্যান করেন, প্রক্সিমিটি প্রম্পট অনুমোদন করেন। হয়ে গেল।

নিরাপদ নয়: আপনি ছাড়া অন্য কেউ সাইন-ইন শুরু করেছে। এর মধ্যে রয়েছে ফোনে কথা বলা যে কেউ, রিমোট-সাপোর্ট কলে থাকা যে কেউ, আপনাকে QR ইমেইল করা যে কেউ, আপনাকে "আপনার পরিচয় যাচাই করার QR" দেখানো যে কেউ, এবং এমন কোনো জায়গার যেকোনো QR যা আপনার নিজের সদ্য-প্রদর্শিত ডিভাইস নয়।

আপনি যদি নিশ্চিত না হন যে কোনো QR আপনার নিজের শুরু করা সাইন-ইন থেকে এসেছে কিনা, তাহলে মূল ডিভাইসে সাইন-ইন বাতিল করুন (ব্রাউজার ট্যাব বন্ধ করুন), তারপর আপনি যে ডিভাইসটি ব্যবহার করতে চেয়েছিলেন সেখানে নতুন করে শুরু করুন। আসল FIDO QR শুধু ~10 মিনিট বৈধ থাকে, পুনরায় শুরু করলে যেকোনো ইন-ফ্লাইট সেশন মুছে যায় এবং হুমকিটি অসম্ভব হয়ে পড়ে।

একটি FIDO QR পরিদর্শন করুন

ছবিটি ড্রপ করুন অথবা FIDO: URI পেস্ট করুন। রায় অপারেশন, টানেল সার্ভার, টাইমস্ট্যাম্প এবং একটি কঠোর সতর্কবার্তা দেখায় যে আপনি নিজে সাইন-ইন শুরু না করলে প্রত্যাখ্যান করুন।

স্ক্যানার খুলুন →