What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Standarder · FIDO CTAP 2.2 hybrid (adgangsnøgle-QR)

Skal jeg scanne denne adgangsnøgle-login-QR?

Kun hvis DU netop har startet en adgangsnøgle-login på den enhed, der viser QR-koden. Hvis nogen andre har genereret QR-koden – en fremmed, en "helpdesk"-agent eller en teknisk support-samtale – logger du dem ind på din konto ved at scanne den med din telefon, ikke dig selv. Protokollens åbne standard (FIDO CTAP 2.2 hybrid) er solid; truslen er social manipulation omkring, hvem der trykkede på "Log ind med adgangsnøgle" først.

Tjek en adgangsnøgle-QR → Alle standarder →

Sådan fungerer krydsenheds-adgangsnøgle-login

En adgangsnøgle er en legitimation – et offentligt/privat nøglepar – bundet til én af dine enheder. Hvis du har registreret en adgangsnøgle for example.com på din telefon, er det kun din telefon, der kan underskrive login-udfordringen for example.com.

Det fungerer fint, når du logger ind PÅ din telefon. Men hvad sker der, når du logger ind på en bærbar computer, der ikke har en adgangsnøgle til det pågældende websted? Du kan:

Skriv dit kodeord – det ophæver hele pointen med adgangsnøgler.
Registrér en ny adgangsnøgle på den bærbare – fint, men kun hvis du stoler på denne bærbare computer på lang sigt.
Brug telefonens adgangsnøgle via krydsenheds-transport – den bærbare viser en QR-kode, din telefon scanner den, telefonen underskriver udfordringen, og den bærbares browser modtager resultatet, og du er logget ind.

Mulighed 3 er, hvad FIDO CTAP 2.2 "hybrid" definerer. QR-koden er bootstrap-mekanismen – den indeholder nok information til, at din telefon kan opdage den bærbare via Bluetooth Low Energy, etablere en envejssikker tunnel og mellemmægle WebAuthn-ceremonien.

Hvad er inde i QR-koden

URI'en ser sådan ud:

FIDO:/0123456789012345678901234567890123456789...

Decimalcifrene er en base10-kodning af et CBOR-map. Efter base10-afkodning + CBOR-parsing har mappen heltalsnøgler:

Nøgle 0, peer offentlig nøgle

Ukomprimerede X9.62 offentlige nøglebytes (33 bytes for P-256). Telefonen bruger disse til at etablere den krypterede tunnel.

Nøgle 1, QR-hemmelighed / tunnelnonce

10 bytes tilfældige data. Identificerer denne specifikke QR-kode; BLE-annoncen udsender en hash heraf, så telefonen kan finde den rigtige bærbare.

Nøgle 2, operationsantydning

0 = make-credential (registrering af ny adgangsnøgle), 1 = get-assertion (login), 2 = discoverable-credential.

Nøgle 3, tunnelserver-domæne

HTTPS-værten, der mellemmægler tunnelen mellem de to enheder, når direkte BLE ikke er tilgængeligt (f.eks. via NAT). Normalt en leverandørdrevet server som cable.ua5v.com (Google) eller cable.auth.com (Apple/MS).

Nøgle 4, tidsstempel

Sekunder siden epoke, da QR-koden blev genereret. Bruges til replay-beskyttelse – telefonen afviser at honorere en QR-kode, der er ældre end et par minutter.

Nøgle 5, tilstandsassisteret flag

Boolsk. Angiver, om den bærbare ønsker, at telefonen deltager i passiv tilstandsbevaring (primært relevant for flows til tælling af legitimationer).

Trusselmodellen: hvem trykkede på "Log ind med adgangsnøgle" først?

Protokollen er kryptografisk sund. Bluetooth-nærhedstjekket er reelt og begrænser angrebet til den, der fysisk befinder sig tæt på dig. Så hvordan går det galt?

Gennem social manipulation af initiationen. Angriberen starter et adgangsnøgle-login til DIN konto på DERES bærbare. Deres bærbare viser en FIDO QR-kode. De får på en eller anden måde QR-koden foran dig:

"Teknisk support" ringer og beder dig scanne en QR-kode for at "verificere din konto".
Et "delt skærm"-Zoom-opkald, hvor angriberens skærm viser QR-koden og beder dig scanne den på din telefon.
Et personligt social manipulation-angreb – angriberen sætter sig ved siden af dig på en café, viser en QR-kode og beder om hjælp til at "logge ind".
En phishing-e-mail, der beder dig scanne en QR-kode for at "bekræfte din identitet til det nye login". (Rigtige FIDO QR-koder er kortvarige; en e-mail ankommer ofte, efter QR-koden er udløbet, men brugeren ved måske ikke det.)

Hvis du scanner, videresender din telefon din adgangsnøgle-signatur til angriberens bærbare computers browser. Det websted, du har en adgangsnøgle til, tror, du er logget ind. Angriberen er nu logget ind på din konto.

Bemærk at nærhedstjekket ikke hjælper – angriberen er fysisk til stede. QR-kode-indholdet hjælper ikke – det er kryptografisk gyldigt. Login-destinationen hjælper ikke – det er det korrekte websted, du har en adgangsnøgle til. Det eneste, der hjælper, er at genkende situationen: du bør aldrig scanne en FIDO QR-kode, som du ikke selv har genereret ved at klikke på "Log ind" på din egen enhed.

Hvad vores scanner viser

Når du lægger en FIDO QR-kode ind i vores scanner, viser resultatet:

Operationsantydningen – er dette et login, en adgangsnøgle-registrering eller en discoverable-credential-operation?
Tunnelserver-domænet – matcher det en leverandør, du kender (Googles cable.ua5v.com, Apples tunnelserver osv.)?
QR-kodens tidsstempel – er den nyligt genereret eller forældet og sandsynligvis afspillet?
Peer-offentlig-nøgle-længden og QR-hemmeligheds-længden – fornuftstjek for, at QR-koden er strukturelt gyldig.

Trusselklassen er altid mistænkelig – ikke fordi protokollen er brudt, men fordi sikkerhedsvurderingen er kontekstafhængig, og scanneren ikke kan vide, hvem der trykkede på "Log ind". Resultats-oplysningen fortæller dig præcis det: "scanning fuldender et login, som nogen STARTEDE PÅ EN ANDEN ENHED. Afvis, hvis du ikke netop selv har initieret et login."

Hvornår er det sikkert (og hvornår er det ikke)

Sikkert: Du satte dig ved din bærbare, åbnede din bank eller dit e-mailwebsted, klikkede på "Log ind med adgangsnøgle", og din bærbare viste QR-koden. Du tager din telefon, scanner QR-koden og godkender nærhedsprompten. Færdig.

Ikke sikkert: enhver anden end dig startede loginproceduren. Det inkluderer enhver over telefon, enhver ved en fjernsupport-samtale, enhver der sendte dig en QR-kode via e-mail, enhver der viste dig en "QR til at bekræfte din identitet", og enhver QR-kode et sted, der ikke er din egen netop viste enhed.

Hvis du ikke er sikker på, om en QR-kode stammer fra et login, DU startede, skal du annullere loginproceduren på den originale enhed (luk browserfanen) og derefter starte forfra på den enhed, du ville bruge. Rigtige FIDO QR-koder er kun gyldige i ca. 10 minutter – en genstart tømmer alle igangværende sessioner og gør truslen umulig.

Relateret

Undersøg en FIDO QR-kode

Slip billedet eller indsæt FIDO:-URI'en. Resultatet viser operation, tunnelserver, tidsstempel og en tydelig advarsel om at afvise, medmindre du selv startede login.

Åbn scanner →