What's encoded in a Wi-Fi QR code?

A Wi-Fi QR uses the WIFI: URI scheme (originally a ZXing convention, since standardized by the Wi-Fi Alliance). It encodes the network name (SSID), security type (WPA / WPA2 / WPA3 / WEP / nopass for open), the password, and a hidden-network flag. WPA2-Enterprise networks also carry an EAP method, an identity, an anonymous identity, and a phase-2 method.

Is it safe to scan a Wi-Fi QR at a café or hotel?

Usually, but verify two things: (1) the network name (SSID) matches what the venue advertises, and (2) the security type is WPA2 or WPA3, not WEP (broken) or 'nopass' (open). A fake QR can advertise a network name like 'Starbucks-WiFi-Free' that looks plausible but routes you to an attacker's hotspot.

What's the 'evil twin' attack?

An attacker sets up a Wi-Fi hotspot with a name that matches or closely mimics the legitimate venue's network. They print or sticker a QR code containing that SSID. Customers scan, connect, and route their traffic through the attacker. Common in airports, hotels, and conference centres. Our scanner flags lookalike SSIDs against a list of known high-value targets (Starbucks, McDonald's, airport-free-wifi patterns, hotel chain names).

Are open Wi-Fi QRs (no password) dangerous?

Open networks aren't dangerous to join, your phone uses HTTPS to encrypt traffic anyway, but they ARE highly impersonable. Anyone with a Wi-Fi router and 10 minutes can stand up a fake 'Coffee Shop Free WiFi' next to a real coffee shop. If you must use open Wi-Fi, double-check that the SSID matches what the venue posts, and consider a VPN. Or just use your mobile data, modern plans usually have it.

Standardy · QR s přihlašovacími údaji Wi-Fi

Je tento Wi-Fi QR kód bezpečné naskenovat?

Wi-Fi QR kód připojí váš telefon k síti, jejíž název je uvnitř kódu — bez výjimky. Nebezpečí nespočívá ve formátu QR kódu (je standardizovaný a sám o sobě neškodný), ale v SSID. QR kód s názvem jako "Starbucks-WiFi-Free" vás věrohodně může nasměrovat k falešnému přístupovému bodu na parkovišti. Obranou je přečíst název sítě PRED klepnutím na Připojit.

Zkontrolovat Wi-Fi QR → Všechny standardy →

Jak vypadá formát

Standard je schéma URI WIFI:, původně zavedeno projektem ZXing a přijaté Wi-Fi Alliance. Kompletní obsah vypadá takto:

WIFI:T:WPA2;S:CafeWiFi;P:hunter2;H:false;;

Pole jsou páry klíč-hodnota oddělené středníky. Každá moderní kamera v chytrém telefonu tento formát rozpozná a nabídne připojení k síti.

Pro WPA2-Enterprise (firemní nebo kampusová Wi-Fi) se formát rozšiřuje o tři další pole: metoda EAP (PEAP / TLS / TTLS), identita (vaše uživatelské jméno), anonymní identita (vnější EAP identita) a metoda ověřování fáze 2.

Pole po poli

T, typ zabezpečení

WPA, WPA2, WPA3, WEP nebo nopass (otevřená síť). WEP je prolomený, moderní telefony se mohou odmítnout připojit. nopass znamená, že síť je otevřená bez šifrování na linkové vrstvě.

S, SSID (název sítě)

Název sítě zobrazený vaším telefonem po připojení. Nejdůležitější pole k ověření. Porovnejte s tím, co provozovatel uvádí v tišteném materiálu nebo na cedulích.

P, heslo

Předsdílený klíč pro sítě třídy WPA. U nopass chybí.

H, skrytá síť

true pokud síť nevysílá své SSID. Skryté sítě je třeba aktivně vyhledávat; nejsou ze své podstaty bezpečnější, spíše naopak.

E, metoda EAP (Enterprise)

Pro sítě WPA2/3-Enterprise: PEAP, TLS, TTLS, PWD. Určuje, jak se váš telefon ověřuje vůči autentizačnímu serveru sítě.

I, identita (Enterprise)

Vaše uživatelské jméno v podnikové síti. Některá místa sem kódují identitu hosta; firemní sítě očekávají vaše skutečné uživatelské jméno.

A, anonymní identita (Enterprise)

Vnější identita viditelná během EAP handshaku. Slouží k ochraně soukromí — skutečná identita je zašifrována uvnitř tunelu.

PH2, metoda fáze 2 (Enterprise)

Pro TTLS / PEAP: metoda ověřování uvnitř vnitřního tunelu, obvykle MSCHAPV2.

Útok evil twin

Postup útoku:

Útočník postaví Wi-Fi router (nebo telefon v režimu hotspot) poblíž cílového místa — kavárny, letištní brány, hotelového lobby, konferenčního centra.
Nastaví SSID, aby odpovídalo nebo napodobovalo síť daného místa: Starbucks_WiFi_2, FREE_AIRPORT_WIFI, HotelGuests_5G.
Vytiskne QR kód pro tuto falešnou síť a nalepí ho někam věrohodně — pod kraj stolu, vedle zásuvky, na okno.
Naskenujete kód, váš telefon se připojí k jejich hotspotu. Útočník přenáší váš provoz na skutečný internet, takže nic nevypadá divně — ale vidí SNI hostname každého HTTPS handshaku (které stránky navštěvujete), každý DNS dotaz a veškerý nešifrovaný provoz.

Moderní aplikace používají HTTPS, takže přihlašovací údaje a obsah jsou šifrované. Ale:

SNI prozrazuje, které stránky navštěvujete (bez šifrovaného ClientHello to neplatí, ale málokterý klient ho vynucuje).
DNS přes útočníkovu síť odhaluje vaše dotazy, pokud nepoužíváte DoH nebo DoT.
Aplikace, které z jakéhokoli důvodu přejdou na HTTP (starší API, chyby v certificate pinning, sondy captive portálu), data prozradí.
Útočník může zobrazovat falešné stránky captive portálu, které vás vyzývají k zadání přihlašovacích údajů, jež byste jinak zadávali jinde.

Náš skener označuje SSID, která vypadají jako vysoce napodobitelné cíle — dobře známé názvy značek s dekódovanými matoucími znaky — jako podezřelé, abyste před připojením zkontrolovali název sítě.

Co náš skener zobrazí

Přetáhněte Wi-Fi QR kód (obrázek, vložte nebo kameru) do našeho skeneru. Verdikt zobrazí:

Síť (SSID) — čtěte pozorně a porovnejte s tím, co provozovatel inzeruje.
Typ zabezpečení — WPA2 / WPA3 / WEP / Otevřená. Otevřené sítě nebo WEP dostanou upozornění.
Heslo — klepnutím odhalíte (citlivé pole). Užitečné pro přidání do správce hesel.
Příznak skryté sítě — Ano / Ne.
Metoda EAP + identita + fáze 2 — pro podnikové sítě; zobrazeno, abyste si mohli ověřit, že metoda ověřování odpovídá tomu, co vám sdělilo IT.
Vložené URL v SSID nebo hesle — někteří útočníci vkládají phishingové URL do pole hesla; ty označujeme.

Skener běží ve vašem prohlížeči; na náš server přichází pouze dekódovaný text ke kontrole bezpečnosti, ne samotný obrázek.

Než klepnete na Připojit

Odpovídá SSID přesně tomu, co provozovatel inzeruje? Podobná jména (extra znaky, prohozená písmena, "Starbucks_2") jsou znakem útoku.
Je zabezpečení WPA2 nebo WPA3? Otevřené sítě a sítě WEP nejsou samy o sobě nutně nebezpečné, ale lze je snadno napodobit.
Pokud jde o podnikovou síť, řeklo vám IT, že máte očekávat právě tuto metodu EAP a identitu?
Používáte stejně mobilní data? Pokud ano, zvažte jejich využití. Moderní mobilní tarify obvykle předčí veřejné Wi-Fi rychlostí i soukromím.
Rotuje provozovatel heslo pravidelně? Mnoho kaváren píše heslo na tabuli; stará QR nálepka na okně může obsahovat heslo, které bylo od té doby změněno.

Související

Zkontrolovat Wi-Fi QR kód

Přetáhněte obrázek QR kódu, vložte řetězec WIFI: nebo použijte kameru. Verdikt zobrazí název sítě, typ zabezpečení, maskované heslo a označí podobnosti s vysoce napodobitelnými SSIDs značek.

Otevřít skener →