En QR-kode er en beholder. Indholdet kan være en betaling, et vaccinationscertifikat, et kørekort, et eSIM, et adgangsnøgle-login eller en smart-hjem-parring – hver styret af sin egen internationale standard med sin egen trusselmodel. Dette er den autoritative reference for hver standard, vores scanner identificerer, hvad der rent faktisk er indeni, når du scanner, og præcis hvad vi viser kontra bevidst maskerer.
Alle QR-koder, du har scannet for at betale en handlende i de seneste fem år, kører på EMVCo's TLV-ramme, men indholdet er landespecifikt. Vi identificerer det specifikke skema, afkoder de handelsfelter, du skal verificere, inden du betaler, og validerer CRC-kontrolsummen, som klistermærkebytte-angribere ikke kan forfalske.
EMVCo MPM / CPM 💳
Basisstandarden for alle handlerpræsenterede QR-betalinger globalt. Tag-Length-Value-rammer med handelsnavn, by, land, valuta, beløb, modtagers kontooplysninger og en CRC-16/CCITT-FALSE-kontrolsum.
Vi viser: handelsnavn, by, land, ISO 4217-valuta (fuld tabel, 169 koder), MCC-kategori, beløb, dynamisk kontra statisk, drikkepenge-indikator, underfelter for yderligere data (referenceetiket, fakturanummer, kundeetiket, terminaletiket, formål).
Trusselsvurdering: ugyldig CRC → mistænkelig (QR-koden er blevet ændret eller beskadiget, det mest pålidelige signal for klistermærkebytte).
Brasiliansk Centralbanks øjeblikkelige betalingsskema. Verdensledende på transaktionsvolumen. To typer: statisk (en QR, du kan genbruge) og dynamisk (engans-QR med et indlejret transaktions-ID).
Vi viser: modtager Pix-nøgle (CPF / CNPJ / e-mail / telefon / EVP UUID), betalingsbeskrivelse, dynamisk QR-URL hvis til stede.
Kryptografisk signeret fakturering, obligatorisk ved alle kommercielle transaktioner i Kongeriget. TLV-kodet med fem krævede tags (sælger, momsnummer, tidsstempel, total, momsbeløb) plus en ECDSA-signatur.
Vi viser: sælgernavn, momsregistreringsnummer, ISO 8601-tidsstempel, fakturatotal, momsbeløb.
Og mange flere: vi identificerer nationale betalingsskemaer for 54 lande, PromptPay (Thailand), PayNow (Singapore), DuitNow (Malaysia), QRIS (Indonesien), Bizum (Spanien), Swish (Sverige), MB WAY (Portugal), BLIK (Polen), Wero (EU) og snesevis af andre dækket i analysatorkatalogen.
Sundhedscertifikater
Vaccinationsjournaler, recepter, laboratorieresultater og rejsecertifikater. Kryptografisk signeret af nationale sundhedsmyndigheder. Vi identificerer legitimationsoplysningerne og viser udsteder og type, men afkoder bevidst aldrig patientens navn, fødselsdato eller sygehistorie. Din tegnebogs-app er det rette sted at se disse.
SMART Health Cards 🩺
Numerisk kodet JWS, der omslutter en DEFLATE-komprimeret JSON-nyttegods med FHIR-ressourcer. Bruges af Apple Wallet, Common Trust Network, amerikanske delstater, canadiske provinser og flere apotekskæder til vaccine- og laboratorieregistre.
Vi viser: udsteder-URL, ISO-tidsstempel for udstedelse, legitimationstype (covid19 / immunization / lab / osv.), FHIR-version, ressourceantal + typer.
Vi afkoder aldrig: patientnavn, fødselsdato, vaccinations-/testdatoer, individuelle FHIR-ressourcekroppe. Testgated i analysatorsuiteen.
EU Digital COVID Certificate (HC1) 🇪🇺
HC1:-præfikset omslutter en base45 → DEFLATE → COSE_Sign1 → CBOR → CWT-kæde, der afsluttes med et EU-defineret HCERT-krav. Bruges stadig til ikke-COVID-rejsedokumenter i nogle medlemsstater efter COVID-nødstanden ophørte.
Vi viser: udstedende land (ISO 3166-1), udstedt-fra-og-med-tidsstempel, udløbstidsstempel, skemaversion, certifikattype (vaccination / test / restitution), målsygdom (SNOMED-CT, "COVID-19" vist, ikke råkoden 840539006), vaccinationsland/testland, udstedende organisation, dosenummer/total, testtype, testresultat.
Vi afkoder aldrig: patientnavn, fødselsdato, dosisdatoer, unikt certifikat-ID (UVCI). Testgated.
Identitetsdokumenter
Kørekort, mobil-ID og digitale identitetspunge. Stregkoden på bagsiden af et amerikansk kørekort indeholder alle felter fra forsiden. Mobile-driver-license-QR'en overfører et forbindelses-handshake, så en verifikator kan oprette forbindelse via NFC/BLE for at læse attributter.
AAMVA driver license 🪪
PDF417-stregkoden på bagsiden af ethvert kørekort i USA og Canada. Underfils-elementformat i henhold til AAMVA Card Design Standard, bilag D.12.5.
Vi viser (~17 felter): for-, midter- og efternavn, ISO-formateret fødselsdato, køn, højde, øjenfarve, kørekortnummer (maskeret), kørekortklasse, restriktioner, påtegninger, udløbsdato, udstedelsesdato, fuld adresse, land, organdonorflag, veteranflag og under-21-indtil-grænse.
Følsom som standard: kørekortnummer + fødselsdato vises som maskerede felter, der kræver tryk for at afsløre, så et skærmbillede af resultatet ikke i sig selv er et identitetslæk. Privatlivsadvarslen påpeger, at barer og klubber, der scanner ID-kort, modtager ALLE disse data, ikke kun indehaverens alder.
mdoc: QR-koden, din iOS/Android-mobilkørekort viser, når det udleveres til en verifikator. CBOR DeviceEngagement med en chiffer-suitevælger, indehaverens kortvarige offentlige nøgle og listen over overførselsmetoder, verifikatoren kan bruge til at oprette forbindelse.
Vi viser: protokolversion, chiffersuite (P-256 ECDH-ES + A256KW er den obligatoriske i dag), understøttede overførselsmetoder (NFC / BLE / Wi-Fi Aware), serverhentelses-vært (når til stede).
Vi afkoder aldrig: indehaverens kortvarige offentlige nøglebytes (vist som kun-længde). De faktiske mDL-attributter flyder over den forhandlede kanal, efter verifikatoren opretter forbindelse, aldrig gennem denne scanner.
OpenID4VP og eudi-openid4vp-skemaer til grænseoverskridende identitetsverifikation. Udrulninger i medlemsstaterne øges i 2024-2026.
Vi viser: protokolfamilie (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, response_uri-værtsnavn, request_uri-værtsnavn til signerede anmodningsforløb, response_mode.
DID URIs 🔑
Decentraliserede identifikatorer: did:web, did:key, did:ion, did:ebsi og andre metoder.
Vi viser: DID-metode, metodespecifik identifikator, tjenesteparameter, relativ reference, verifikationsfragment.
Godkendelse og adgangsnøgler
QR-loginforløb, der beskytter (eller kompromitterer) alle dine konti. Vi identificerer hver type og advarer tydeligt, når en QR beder dig om at gennemføre en andens login i stedet for dit eget.
FIDO CTAP 2.2 hybrid 🗝️
Cross-device adgangsnøgle-QR, som din bærbare viser, når du logger ind med en adgangsnøgle på din telefon. Base10-kodet CBOR-kort med peer public key, QR-hemmelighed, operationsantydning, tunnelserver-domæne, tidsstempel og tilstandshjælpsflag.
Stærk advarsel: at scanne denne QR fuldfører et login, som nogen STARTEDE PÅ EN ANDEN ENHED. Hvis du ikke selv netop initierede et adgangsnøgle-login, afvis – ellers logger du den, der genererede QR-koden, ind på din konto.
RFC 4226 / RFC 6238 engangskodeopsætnings-QR-koder. otpauth://-URI'en, din bank eller arbejdsapp viser, når du tilmelder en autentificator.
Vi viser: udsteder, konto, algoritme (SHA1 / SHA256 / SHA512), cifre (6 / 8), periode (TOTP) eller tæller (HOTP), udsteder-ikon-URL.
Følsom som standard: Base32-hemmeligheden vises som tryk-for-at-afsløre. Vi Base32-validerer også hemmeligheden og advarer tydeligt, når den er forkert udformet – autentificator-apps accepterer forkert udformede hemmeligheder lydløst og genererer derefter koder, der aldrig verificeres.
Google Authenticator-masseeksport-QR. Indeholder alle 2FA-hemmeligheder i autentificatoren på én gang – en protobuf-bundt med N OtpParameters-poster.
Vi viser (pr. post): udsteder, konto, type (HOTP / TOTP), algoritme, cifre, tæller, plus version/batch-metadata. Afsløringen opregner "Grants i denne bundt: ACME / alice@acme; GitHub / bob@github; ..." så en bruger, der ER midt i en migration, kan revidere inden import.
Vi afkoder aldrig: de faktiske hemmeligheds-seed-bytes. Verificeret ved test med kanariestrenge, der aldrig må vises i noget resultatoutput.
Stærk advarsel: trusselklassen er sandsynligvis farlig, medmindre brugeren BOGSTAVELIGT er midt i en migration mellem sine egne enheder.
Klartekst-loginmeddelelsen, din pung underskriver for at bevise kontrol over en pungadresse til et websted.
Vi viser: webstedsdomæne, pungadresse, kæde-ID, engangsværdi, udløbstidspunkt.
Advarsel: læs webstedet og erklæringen omhyggeligt – et ondsindet websted kan bruge en underskrevet SIWE-meddelelse til at udgive sig for dig på det pågældende domæne.
Rejse og billetter
IATA boarding pass (Resolution 792) ✈️
QR/Aztec/PDF417 på din flyboardingkort. Fast bredde på overskriften (60 tegn) plus 37 tegn obligatoriske data pr. segment.
Vi viser (pr. segment): flyselskabskode + flynummer (nul-strippet), rute (FRA → TIL), dato (Juliansk dag → ISO med smart årsrullefremad), sæde, kabinklasse, sekvensnummer, status (Ombordstignet / Lounge-adgang / Sikkerhedskontrol omgået / osv.). Flersegmentskort får pr.-segment-rækkeprefikser.
Følsom som standard: PNR/bookingsreference vises maskeret til tryk-for-at-afsløre; dit navn plus PNR er nok til at tilgå bookingen på de fleste flyselskabswebsteder. Del ikke fotos af dit boardingkort offentligt.
The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].
Vi viser: SM-DP+ FQDN (operatørens server, der kommunikerer med din telefon), aktiveringskode, flag for om bekræftelseskode kræves.
Advarsel: en installeret eSIM-profil kan opsnappe SMS, herunder SMS-baserede 2FA-koder. Kontrollér at SM-DP+ matcher din rigtige operatør (Airalo, Saily, Truphone, Google Fi osv.) mod en godkendelsesliste, før installation.
MT:-præfiks base38-pakket binær kode fra Connectivity Standards Alliance. Cross-vendor smart-hjem-parring, fungerer i Apple Home, Google Home, Amazon Alexa, Samsung SmartThings.
Vi viser: leverandør-ID, produkt-ID, diskriminator, 8-cifret opsætningsadgangskode (følsom-maskeret), kommissioneringsforløb, opdagelsesfunktionsflag (Soft-AP / BLE / eksisterende IP-netværk), specifikationsversion.
Apple HAP-tilbehørsopsætnings-URI. Går forud for Matter; leveres stadig med mange tilbehørsprodukter, der ikke understøtter Matter endnu.
Wi-Fi Easy Connect (DPP) 📡
Wi-Fi Alliance Device Provisioning Protocol, den moderne erstatning for WPS. Bruges i 2025-era routere til QR-baseret enhedsonboarding.
Bluetooth Auracast (BAU v1.0) 🎧
Bluetooth SIG's QR-skema til LE Audio-udsendelser. Service-UUID 184F identificerer Auracast; vi viser udsendelsesnavnet (base64-afkodet) og krypteringstilstanden.
Krypto og Lightning
Bitcoin (BIP-21) ₿
Standard Bitcoin-betalings-URI. Vi viser adresse, beløb (med BTC/sat-enhed), etiket, besked, PayJoin-slutpunkt (pj=), BIP-72-betalingsanmodnings-URL (r=), krævede (req-*)-parametre, Lightning-tilbagefald.
Ethereum (EIP-681) ⟠
Ethereum-betalingsanmodnings-URI med kædevalg. Vi afkoder modtager kontra kontrakt, kæde-ID med læsbar etiket (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), værdi (wei → ETH/Gwei pænt udskrevet), funktionskaldenavn, ERC-20-overførselsargumenter.
Advarsel: et kontraktkald er ikke det samme som en simpel overførsel – pung-dræner-programmer er afhængige af, at brugere ikke bemærker forskellen.
WalletConnect (ERC-1328) 🔗
dApp↔pung-parings-URI. Vi viser version (v2 er aktuel; v1 er forældet og svagere), emne, relæprotokol, sessions-symmetrisk nøgle (følsom-maskeret).
Solana Pay ◎
Solana Foundations overførselsanmodnings-URI. Vi viser modtager, beløb, SPL-token-mint, etiket, reference, besked, memo.
Lightning Network (BOLT-12, LNURL) ⚡
BOLT-12-tilbud (lno1...) er genanvendelige Lightning-betalingsanmodninger. LNURL (lnurl1...) base32-koder et HTTPS-slutpunkt, som din pung kalder for at hente en faktura, hæve, åbne kanal eller autentificere.
Cashu ecash 🪙
Indehaverbaseret ecash-token. Adskiller sig fra alle andre kryptoformater, fordi QR-koden bogstaveligt talt ER pengene – enhver der fotograferer den kan bruge dem.
Følsom som standard: token-strengen er maskeret; resultatet advarer tydeligt om, at QR-koden indeholder ubrugt værdi.
nsec følsom: en Nostr-privat nøgle i en QR-kode betyder, at indehaverens identitet er blevet kompromitteret. Vi markerer det som et legitimationslæk.
Industri og regulering
GS1 Digital Link 📦
Standarden, der vil erstatte 1D-stregkoder for forbrugerprodukter. Applikationsidentifikatorer i URL-stien koder GTIN, batch/lot, produktions-/udløbsdato, serienummer og mere.
Vi viser: GTIN (01), batch/lot (10), produktionsdato (11), bedst-før (15), udløbsdato (17), serienummer (21) og yderligere AI'er som navngivne felter.
EU-forordningen kræver, at hvert forbrugerprodukt bærer et digitalt pas (bæredygtighed, oprindelse, reparationsinfo) fra og med 2027. Bygget på GS1 Digital Link-URL'er, der fører til produktspecifikke passider.
QR-koden afkodes i dag via vores GS1 Digital Link-analysator; pasindholdet ud over URL'en offentliggøres af den respektive producent.
INI-format WireGuard VPN-konfiguration. Vi viser grænsefladeadresse, DNS, lytteport, peer-slutpunkt, tilladte IP'er, vedvarende keepalive, yderligere peer-antal.
Følsom som standard: grænseflades private nøgle og preshared key vises som tryk-for-at-afsløre. Advarsel når allowed-IPs er 0.0.0.0/0 (fuld tunnel – alle bytes af din trafik igennem en andens server).
SSH public key 🔑
OpenSSH authorized_keys-format (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Vi viser algoritme, kommentar og nøglelængde.
X.509 certificate / JWT 📜
PEM-rustede X.509-certifikater og rå JWT compact-serialiseringer. Vi DER-gennemgår certifikatet for at udtrække Subject CN/O, Issuer CN, NotBefore/NotAfter og offentlig-nøgle-bitlængde. Vi markerer udløbne certifikater.
JWT-privatliv: vi viser alg + typ fra headeren, men afkoder ALDRIG JWT-nyttegodsets krav – de kan indeholde konto-ID'er, omfang eller andre hemmeligheder, der ikke hører hjemme i scanningsresultater.
PGP key block 🔑
OpenPGP PUBLIC / PRIVATE KEY-blok. Vi viser kun format; nøglematerialet er maskeret. PRIVATE KEY-blokke får en tydelig "del ikke denne QR"-advarsel.
Symbologier vi afkoder (den visuelle kode selv)
En symbologi er *beholderen* – formen af prikker og firkanter. Standarderne ovenfor er *nyttegodsene* – hvad der er indeni. Vores scanner læser alle åbne standardsymbologier og sender den afkodede tekst til den rette analysator ovenfor.
QR Code (ISO/IEC 18004) ⬛
Model 1 (1994 original), Model 2 (den nuværende globale standard), Micro QR (småkomponenter) og rektangulær Micro QR (rMQR, ISO/IEC 23941:2022, smalle mærkater som reagensglas).
Aztec Code (ISO/IEC 24778) ▣
Aztec-symbologien med bulls-eye-finder, der bruges på Eurostar, SBB og mange europæiske transitbilletter.
Tæt småformat-symbologi. Bruges af GS1 inden for detail, DSCSA inden for lægemidler, MIL-STD-130 inden for forsvar, ATA Spec 2000 inden for luftfart og ISBT 128 til mærkning af blodprodukter.
EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF – de lineære stregkoder du ser ved kassen i alle dagligvarebutikker og på alle fragtmærkater.
Hvorfor det betyder noget
En QR-kodes sikkerhed er ikke sikkerheden af dens URL – det er sikkerheden af den standard, der styrer hvad der er indeni. En betalings-QR er farlig, fordi nogen har byttet klistermærket; en adgangsnøgle-QR er farlig, fordi nogen vil logge ind som dig; en vaccinationspost-QR er farlig på grund af, hvem der holder scanneren. Vi modellerer hver enkelt separat, mod sin egen trusselmodel, med feltlevel-afkodning frem for gætteri.
Alle analysatorer ovenfor er åbne om, hvad de viser, og hvad de bevidst maskerer, så du kan verificere vores påstande ved at læse resultatoutputtet – ikke ved at stole på en sort boks.