What's encoded in a Wi-Fi QR code?

A Wi-Fi QR uses the WIFI: URI scheme (originally a ZXing convention, since standardized by the Wi-Fi Alliance). It encodes the network name (SSID), security type (WPA / WPA2 / WPA3 / WEP / nopass for open), the password, and a hidden-network flag. WPA2-Enterprise networks also carry an EAP method, an identity, an anonymous identity, and a phase-2 method.

Is it safe to scan a Wi-Fi QR at a café or hotel?

Usually, but verify two things: (1) the network name (SSID) matches what the venue advertises, and (2) the security type is WPA2 or WPA3, not WEP (broken) or 'nopass' (open). A fake QR can advertise a network name like 'Starbucks-WiFi-Free' that looks plausible but routes you to an attacker's hotspot.

What's the 'evil twin' attack?

An attacker sets up a Wi-Fi hotspot with a name that matches or closely mimics the legitimate venue's network. They print or sticker a QR code containing that SSID. Customers scan, connect, and route their traffic through the attacker. Common in airports, hotels, and conference centres. Our scanner flags lookalike SSIDs against a list of known high-value targets (Starbucks, McDonald's, airport-free-wifi patterns, hotel chain names).

Are open Wi-Fi QRs (no password) dangerous?

Open networks aren't dangerous to join, your phone uses HTTPS to encrypt traffic anyway, but they ARE highly impersonable. Anyone with a Wi-Fi router and 10 minutes can stand up a fake 'Coffee Shop Free WiFi' next to a real coffee shop. If you must use open Wi-Fi, double-check that the SSID matches what the venue posts, and consider a VPN. Or just use your mobile data, modern plans usually have it.

Standards · Wi-Fi-Zugangsdaten-QR

Ist dieser Wi-Fi-QR-Code sicher zu scannen?

Ein Wi-Fi-QR verbindet Ihr Telefon mit dem Netzwerk, dessen Name im Code steht – Punkt. Die Gefahr liegt nicht im QR-Format selbst (es ist standardisiert und für sich harmlos), sondern im SSID. Ein QR mit einem Namen wie "Starbucks-WiFi-Free" könnte Sie plausibel zu einem gefälschten Hotspot auf dem Parkplatz leiten. Der Schutz: den Netzwerknamen lesen, BEVOR Sie auf "Verbinden" tippen.

Wi-Fi-QR prüfen → Alle Standards →

Wie sieht das Format aus

Der Standard ist das WIFI:-URI-Schema, ursprünglich vom ZXing-Projekt eingeführt und von der Wi-Fi Alliance übernommen. Ein vollständiger Payload sieht so aus:

WIFI:T:WPA2;S:CafeWiFi;P:hunter2;H:false;;

Die Felder sind Schlüssel-Wert-Paare, getrennt durch Semikolons. Jede moderne Smartphone-Kamera-App erkennt dieses Format und fordert zum Beitreten des Netzwerks auf.

Für WPA2-Enterprise (Firmen- oder Campus-WLAN) erweitert sich das Format um drei weitere Felder: EAP-Methode (PEAP / TLS / TTLS), Identität (Ihr Benutzername), Anonymous Identity (die äußere EAP-Identität) und Phase-2-Authentifizierungsmethode.

Feld für Feld

T, Sicherheitstyp

WPA, WPA2, WPA3, WEP oder nopass (offen). WEP ist gebrochen; moderne Telefone verweigern möglicherweise die Verbindung. nopass bedeutet, das Netz ist offen ohne Verschlüsselung auf der Verbindungsschicht.

S, SSID (Netzwerkname)

Der Netzwerkname, den Ihr Telefon nach der Verbindung anzeigt. Das wichtigste Feld zum Prüfen. Vergleichen Sie ihn mit dem, was der Betreiber in Print oder auf Schildern ausweist.

P, Passwort

Der Pre-Shared-Key für WPA-Netzwerke. Fehlt bei nopass.

H, verstecktes Netzwerk

true, wenn das Netzwerk seine SSID nicht ausstrahlt. Versteckte Netze müssen aktiv gesucht werden; sie sind nicht grundsätzlich sicherer, oft sogar weniger.

E, EAP-Methode (Enterprise)

Für WPA2/3-Enterprise-Netzwerke: PEAP, TLS, TTLS, PWD. Bestimmt, wie sich Ihr Telefon beim Authentifizierungsserver des Netzes ausweist.

I, Identität (Enterprise)

Ihr Benutzername im Enterprise-Netzwerk. Manche Betreiber kodieren eine Gastidentität; Firmennetzwerke erwarten Ihren echten Benutzernamen.

A, Anonyme Identität (Enterprise)

Die beim EAP-Handshake sichtbare äußere Identität. Aus Datenschutzgründen genutzt – die echte Identität ist innerhalb des Tunnels verschlüsselt.

PH2, Phase-2-Methode (Enterprise)

Für TTLS / PEAP: die Authentifizierungsmethode im inneren Tunnel, üblicherweise MSCHAPV2.

Der Evil-Twin-Angriff

So läuft es ab:

Der Angreifer richtet in der Nähe eines Zielorts – Café, Flughafen-Gate, Hotellobby, Konferenzzentrum – einen Wi-Fi-Router (oder ein Telefon im Hotspot-Modus) ein.
Er konfiguriert den SSID so, dass er dem Netzwerk des Betreibers entspricht oder ähnelt: Starbucks_WiFi_2, FREE_AIRPORT_WIFI, HotelGuests_5G.
Er druckt einen QR für dieses gefälschte Netz und klebt ihn an eine glaubwürdige Stelle – unter eine Tischkante, neben eine Steckdose, an ein Fenster.
Sie scannen, Ihr Telefon verbindet sich mit seinem Hotspot. Der Angreifer leitet Ihren Datenverkehr ans echte Internet weiter, sodass nichts kaputt wirkt – er sieht aber jeden HTTPS-Handshake-SNI-Hostnamen (welche Seiten Sie besuchen), jede DNS-Anfrage und jeden unverschlüsselten Datenverkehr.

Moderne Apps verwenden HTTPS, sodass Zugangsdaten und Inhalte verschlüsselt sind. Aber:

SNI verrät, welche Seiten Sie besuchen (bei verschlüsseltem ClientHello nicht – aber kaum ein Client erzwingt das).
DNS über das Angreifernetz offenbart Ihre Anfragen, sofern Sie kein DoH / DoT verwenden.
Apps, die aus irgendeinem Grund auf HTTP zurückfallen (Legacy-APIs, Certificate-Pinning-Fehler, Captive-Portal-Probes), leaken Daten.
Der Angreifer kann gefälschte Captive-Portal-Seiten einblenden, die nach Zugangsdaten fragen, die Sie normalerweise anderswo eingeben würden.

Unser Scanner kennzeichnet SSIDs, die hochwertigen Markenzielen ähneln – bekannte Markennamen mit dekodiertem Confusable-Check – als verdächtig, damit Sie den Netzwerknamen vor dem Beitreten noch einmal prüfen.

Was unser Scanner Ihnen zeigt

Wi-Fi-QR (Bild, Paste oder Kamera) in unseren Scanner laden. Das Ergebnis zeigt:

Netzwerk (SSID) – genau lesen und mit dem vergleichen, was der Betreiber aushängt.
Sicherheitstyp – WPA2 / WPA3 / WEP / Offen. Offene oder WEP-Netze erhalten einen Hinweis.
Passwort – Tipp zum Anzeigen (sensitives Feld). Praktisch zum Hinzufügen in einen Passwort-Manager.
Versteckt-Flag – Ja / Nein.
EAP-Methode + Identität + Phase 2 – bei Enterprise-Netzwerken, damit Sie die Auth-Methode mit der IT-Vorgabe abgleichen können.
Eingebettete URLs in SSID oder Passwort – manche Angreifer verstecken Phishing-URLs im Passwortfeld; wir kennzeichnen diese.

Der Scanner läuft in Ihrem Browser; nur der dekodierte Text erreicht unseren Server für die Sicherheitsprüfung, nicht das Bild.

Bevor Sie auf "Verbinden" tippen

Stimmt der SSID exakt mit dem überein, was der Betreiber aushängt? Ähnliche Namen (zusätzliche Zeichen, vertauschte Buchstaben, "Starbucks_2") sind das typische Angriffsmuster.
Ist die Sicherheit WPA2 oder WPA3? Offene Netze und WEP sind nicht per se gefährlich, aber leicht imitierbar.
Bei einem Enterprise-Netzwerk: Hat die IT Ihnen genau diese EAP-Methode und Identität angekündigt?
Haben Sie ohnehin mobiles Internet? Falls ja, überlegen Sie, ob Sie es einfach nutzen. Moderne Mobilfunktarife sind für Geschwindigkeit und Datenschutz oft besser als das WLAN eines Veranstaltungsorts.
Wird das Passwort des Veranstaltungsorts regelmäßig geändert? Viele Cafés schreiben das Passwort auf eine Tafel; ein alter QR-Aufkleber am Fenster könnte ein längst geändertes Passwort enthalten.

Wi-Fi-QR prüfen

QR-Bild ablegen, den WIFI:-String einfügen oder die Kamera nutzen. Das Ergebnis zeigt Netzwerkname, Sicherheitstyp, maskiertes Passwort und kennzeichnet Ähnlichkeiten mit hochimitierten Marken-SSIDs.

Scanner öffnen →