What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Standardit · FIDO CTAP 2.2 hybrid (salasanaavain-QR)

Pitäisikö minun skannata tämä salasanaavainkirjautumis-QR?

Vain jos SINÄ juuri aloitit salasanaavainkirjautumisen laitteella, joka näyttää QR-koodin. Jos joku muu on luonut QR-koodin – vieras, "helpdesk"-agentti tai tekninen tukipuhelu – skannaamalla se puhelimellasi kirjaudut heidät tilillesi, et itsesi. Protokollan avoin standardi (FIDO CTAP 2.2 hybrid) on vankka; uhkana on sosiaalinen manipulointi sen suhteen, kuka painoi ensin "Kirjaudu salasanaavaimella".

Tarkista salasanaavain-QR → Kaikki standardit →

Miten laitteiden välinen salasanaavainkirjautuminen toimii

Salasanaavain on tunniste – julkinen/yksityinen avainpari – joka on sidottu yhteen laitteistasi. Jos rekisteröit salasanaavaimen sivustolle example.com puhelimellasi, vain puhelimesi voi allekirjoittaa example.com-sivuston kirjautumishaasteen.

Tämä toimii hyvin, kun kirjaudut sisään PUHELIMELLASI. Mutta mitä tapahtuu, kun kirjaudut kannettavalle, jolla ei ole kyseisen sivuston salasanaavainta? Voit:

Kirjoita salasanasi – se kumoaa salasanaavainten koko tarkoituksen.
Rekisteröi uusi salasanaavain kannettavalle – sopii, mutta vain jos luotat tähän kannettavaan pitkällä aikavälillä.
Käytä puhelimen salasanaavainta laitteiden välisellä siirrolla – kannettava näyttää QR-koodin, puhelimesi skannaa sen, puhelin allekirjoittaa haasteen ja kannettavan selain vastaanottaa tuloksen, jolloin olet kirjautunut sisään.

Vaihtoehto 3 on se, mitä FIDO CTAP 2.2 "hybrid" määrittelee. QR-koodi on käynnistysmekanismi – se sisältää tarpeeksi tietoa, jotta puhelimesi voi löytää kannettavan Bluetooth Low Energyn kautta, muodostaa kertaluonteisen suojatun tunnelin ja välittää WebAuthn-seremonian.

Mitä QR-koodin sisällä on

URI näyttää tältä:

FIDO:/0123456789012345678901234567890123456789...

Desimaalinumerot ovat CBOR-kartan base10-koodaus. Base10-dekoodauksen + CBOR-jäsennyksen jälkeen kartassa on kokonaislukuavaimet:

Avain 0, vertaisverkon julkinen avain

Pakkaamattomat X9.62-julkisen avaimen tavut (33 tavua P-256:lle). Puhelin käyttää näitä salatun tunnelin muodostamiseen.

Avain 1, QR-salaisuus / tunnelinonce

10 tavua satunnaistietoja. Tunnistaa tämän QR-koodin; BLE-ilmoitus lähettää siitä tiivisteen, jotta puhelin löytää oikean kannettavan.

Avain 2, operaatiovihje

0 = make-credential (uuden salasanaavaimen rekisteröinti), 1 = get-assertion (kirjautuminen), 2 = discoverable-credential.

Avain 3, tunnelipalvelintoimialue

HTTPS-isäntä, joka välittää tunnelia laitteiden välillä, kun suora BLE ei ole käytettävissä (esim. NAT:n kautta). Yleensä toimittajan ylläpitämä palvelin, kuten cable.ua5v.com (Google) tai cable.auth.com (Apple/MS).

Avain 4, aikaleima

Sekuntia epookista QR-koodin luomishetkellä. Käytetään uudelleenlähetyssuojaukseen – puhelin kieltäytyy hyväksymästä muutamaa minuuttia vanhempaa QR-koodia.

Avain 5, tilatuettu lippu

Totuusarvo. Ilmaisee, haluaako kannettava puhelimen osallistuvan passiiviseen tilanylläpitoon (lähinnä merkityksellinen tunnistustenluettelovirtojen kannalta).

Uhkamalli: kuka painoi ensin "Kirjaudu salasanaavaimella"?

Protokolla on kryptografisesti vankka. Bluetooth-läheisyystarkistus on aito ja rajoittaa hyökkäyksen fyysisesti lähellä oleviin. Miten se sitten menee pieleen?

Sosiaalisen manipuloinnin kautta aloituksen kohdalla. Hyökkääjä käynnistää salasanaavainkirjautumisen SINUN tilillesi HEIDÄN kannettavallaan. Heidän kannettavansa näyttää FIDO-QR-koodin. He saavat QR-koodin jollakin tavalla eteesi:

"Tekninen tuki" soittaa ja pyytää skannaamaan QR-koodin "tilin vahvistamiseksi".
"Jaettu näyttö" -Zoom-puhelu, jossa hyökkääjän näyttö näyttää QR-koodin ja pyytää skannaamaan sen puhelimellasi.
Kasvotusten tapahtuva sosiaalinen manipulointi – hyökkääjä istuu vieressäsi kahvilassa, näyttää QR-koodin ja pyytää apua "kirjautumisessa".
Kalastelusähköposti, joka pyytää skannaamaan QR-koodin "henkilöllisyyden vahvistamiseksi uuteen kirjautumiseen". (Oikeat FIDO-QR-koodit ovat lyhytkestoisia; sähköposti saapuu usein sen jälkeen, kun QR-koodi on vanhentunut, mutta käyttäjä ei välttämättä tiedä sitä.)

Jos skannaat, puhelimesi välittää salasanaavainallekirjoituksesi hyökkääjän kannettavan selaimen kautta. Sivusto, johon sinulla on salasanaavain, luulee sinun kirjautuneen sisään. Hyökkääjä on nyt kirjautunut tilillesi.

Huomaa, että läheisyystarkistus ei auta – hyökkääjä on fyysisesti paikalla. QR-koodin sisältö ei auta – se on kryptografisesti pätevä. Kirjautumiskohde ei auta – se on oikea sivusto, johon sinulla on salasanaavain. Ainoa auttava asia on tilanteen tunnistaminen: sinun ei pitäisi koskaan skannata FIDO-QR-koodia, jota et itse luonut klikkaamalla "Kirjaudu sisään" omalla laitteellasi.

Mitä skannerimme näyttää

Kun pudotat FIDO-QR-koodin skannerimme, tulos näyttää:

Operaatiovihje – onko kyseessä kirjautuminen, salasanaavaimen rekisteröinti vai discoverable-credential-operaatio?
Tunnelipalvelintoimialue – vastaako se tunnistamasi toimittajan palvelua (Googlen cable.ua5v.com, Applen tunnelipalvelin jne.)?
QR-koodin aikaleima – onko se juuri luotu vai vanhentunut ja todennäköisesti uudelleenlähetetty?
Vertaisverkon julkisen avaimen pituus ja QR-salaisuuden pituus – järkevyystarkistukset, jotka vahvistavat QR-koodin rakenteellisen pätevyyden.

Uhkaluokka on aina epäilyttävä – ei siksi, että protokolla olisi rikki, vaan koska turvallisuusarviointi on kontekstuaalista eikä skanneri voi tietää, kuka painoi "Kirjaudu sisään". Tuloksen tiedote kertoo juuri sen: "skannaus suorittaa kirjautumisen, jonka joku ALOITTI TOISELLA LAITTEELLA. Kieltäydy, jos et juuri itse käynnistänyt kirjautumista."

Milloin se on turvallista (ja milloin ei)

Turvallista: istuuduit kannettavasi ääreen, avasit pankki- tai sähköpostisivustosi, klikkasit "Kirjaudu salasanaavaimella" ja kannettavasi näytti QR-koodin. Nostat puhelimesi, skannaat QR-koodin ja hyväksyt läheisyyskehotuksen. Valmis.

Ei turvallista: kukaan muu kuin sinä aloitti kirjautumisprosessin. Tähän kuuluvat kaikki puhelimessa, kaikki etätukipuheluissa, kaikki jotka lähettivät sinulle QR-koodin sähköpostitse, kaikki jotka näyttivät sinulle "QR:n henkilöllisyyden vahvistamiseksi" ja mikä tahansa QR-koodi paikassa, joka ei ole oma juuri näytetty laitteesi.

Jos et ole varma, onko QR-koodi kirjautumisesta, jonka SINÄ aloitit, peruuta kirjautuminen alkuperäisessä laitteessa (sulje selaimen välilehti) ja aloita sitten alusta haluamassasi laitteessa. Oikeat FIDO-QR-koodit ovat voimassa vain noin 10 minuuttia – uudelleenaloitus tyhjentää kaikki käynnissä olevat istunnot ja tekee uhasta mahdottoman.

Aiheeseen liittyvää

Tutki FIDO-QR-koodi

Pudota kuva tai liitä FIDO:-URI. Tulos näyttää operaation, tunnelipalvelimen, aikaleiman ja selkeän varoituksen hylätä, ellei itse aloittanut kirjautumista.

Avaa skanneri →

Pitäisikö minun skannata tämä salasana­avain­kirjautumis-QR?

Miten laitteiden välinen salasana­avain­kirjautuminen toimii