What's encoded in a Wi-Fi QR code?

A Wi-Fi QR uses the WIFI: URI scheme (originally a ZXing convention, since standardized by the Wi-Fi Alliance). It encodes the network name (SSID), security type (WPA / WPA2 / WPA3 / WEP / nopass for open), the password, and a hidden-network flag. WPA2-Enterprise networks also carry an EAP method, an identity, an anonymous identity, and a phase-2 method.

Is it safe to scan a Wi-Fi QR at a café or hotel?

Usually, but verify two things: (1) the network name (SSID) matches what the venue advertises, and (2) the security type is WPA2 or WPA3, not WEP (broken) or 'nopass' (open). A fake QR can advertise a network name like 'Starbucks-WiFi-Free' that looks plausible but routes you to an attacker's hotspot.

What's the 'evil twin' attack?

An attacker sets up a Wi-Fi hotspot with a name that matches or closely mimics the legitimate venue's network. They print or sticker a QR code containing that SSID. Customers scan, connect, and route their traffic through the attacker. Common in airports, hotels, and conference centres. Our scanner flags lookalike SSIDs against a list of known high-value targets (Starbucks, McDonald's, airport-free-wifi patterns, hotel chain names).

Are open Wi-Fi QRs (no password) dangerous?

Open networks aren't dangerous to join, your phone uses HTTPS to encrypt traffic anyway, but they ARE highly impersonable. Anyone with a Wi-Fi router and 10 minutes can stand up a fake 'Coffee Shop Free WiFi' next to a real coffee shop. If you must use open Wi-Fi, double-check that the SSID matches what the venue posts, and consider a VPN. Or just use your mobile data, modern plans usually have it.

Standardit · Wi-Fi-tunnistetietojen QR

Onko tämä Wi-Fi-QR-koodi turvallinen skannata?

Wi-Fi-QR yhdistää puhelimesi koodissa nimettyyn verkkoon – täysautomaattinen yhteys ilman salasanan kirjoittamista. Se on kätevää, ja se on riski.

Tarkasta Wi-Fi-QR → Kaikki standardit →

Mikä on formaatti

Standardi on WIFI: URI-järjestelmä, jonka ZXing alun perin esitteli ja jota nyt tukevat iOS, Android, macOS ja Windows.

WIFI:T:WPA2;S:CafeWiFi;P:hunter2;H:false;;

Kentät ovat avain-arvo-pareja puolipisteillä eroteltuina. Kaikki modernit älypuhelimet ymmärtävät formaatin.

WPA2-Enterprise-verkoille (yritys- tai kampus-Wi-Fi) formaatti laajenee kolmella lisäkentällä: EAP-menetelmä (E), henkilöllisyys (I) ja anonyymi henkilöllisyys (A).

Kenttä kerrallaan

T, suojaustyyppi

WPA, WPA2, WPA3, WEP tai nopass (avoin). WEP on murrettu, ja nykyaikaiset puhelimet saattavat kieltäytyä yhteyden muodostamisesta. nopass tarkoittaa, että verkko on avoin ilman linkkitason salausta.

S, SSID (verkon nimi)

Verkon nimi, jonka puhelimesi näyttää yhdistämisen jälkeen. Tärkein kenttä tarkistettavaksi – hämäävät merkit ovat näkymättömiä paljaalle silmälle.

P, salasana

Esijaettu avain WPA-luokan verkoille. Puuttuu nopass-verkoilla.

H, piilotettu verkko

true jos verkko ei lähetä SSID:tään. Piilotetut verkot edellyttävät, että tiedät tarkan verkon nimen.

E, EAP-menetelmä (Enterprise)

WPA2/3-Enterprise-verkoille: PEAP, TLS, TTLS, PWD. Määrittää, miten puhelimesi todentautuu verkon todentamispalvelimelle.

I, henkilöllisyys (Enterprise)

Käyttäjätunnuksesi Enterprise-verkossa. Jotkut paikat koodaavat vierashenkilöllisyyden tähän.

A, anonyymi henkilöllisyys (Enterprise)

EAP-kättelyn aikana näkyvä ulkoinen henkilöllisyys. Käytetään yksityisyyden suojaksi – todellinen henkilöllisyys lähetetään salattuna tunnelin sisällä.

PH2, vaihe 2 -menetelmä (Enterprise)

TTLS:lle / PEAP:lle: sisätunnelin todennusmenetelmä, yleensä MSCHAPV2.

Evil twin -hyökkäys

Resepti:

Hyökkääjä pystyttää Wi-Fi-reitittimen (tai puhelimen hotspot-tilassa) kohdepaikan lähelle.
He määrittävät SSID:n vastaamaan tai jäljittelemään kohteen verkkoa: Starbucks_WiFi_2, FREE_AIRPORT_WIFI, HotelGuests_5G.
He tulostavat QR-koodin väärälle verkolle ja kiinnittävät sen uskottavaan paikkaan – olemassa olevan Wi-Fi-QR:n alle, flyeriin, valikkoon.
Skannaat, puhelimesi yhdistää heidän hotspotiinsa. Hyökkääjä välittää liikenteesi oikeaan verkkoon, joten et huomaa mitään.

Modernit sovellukset käyttävät HTTPS:ää, joten tunnistetiedot ja sisältö ovat salattuja. Mutta:

SNI paljastaa mitä sivustoja vierailet (salatulla ClientHellolla se ei tee niin, mutta harvat asiakkaat käyttävät sitä vielä).
DNS hyökkääjän verkon kautta paljastaa kyselysi, ellei käytä DoH:ta / DoT:ta.
Sovellukset, jotka palaavat HTTP:hen syystä tai toisesta (vanhat API:t, sertifikaatin kiinnitysvirheet), ovat täysin alttiita.
Hyökkääjä voi tarjoilla väärennettyjen captive portal -sivujen kautta tunnistetietoja, jotka antaisit oikealle verkolle.

Skannerimme merkitsee SSID:t, jotka muistuttavat korkean jäljittelyriskin kohteita – tunnettuja tuotemerkkejä, lentoasemien nimiä, hotelliketjuja – ja jotka käyttävät hämääviä merkkejä.

Mitä skannerimme näyttää sinulle

Pudota Wi-Fi-QR (kuva, liitä tai kamera) skanneriimme. Tuomio näyttää:

Verkko (SSID) – lue se huolellisesti ja vertaa paikan mainostamaan.
Suojaustyyppi – WPA2 / WPA3 / WEP / Avoin. Avoimet tai WEP-verkot saavat näkyvän varoitusmerkinnän.
Salasana – napauta paljastaaksesi (arkaluonteinen kenttä). Hyödyllinen uuden laitteen lisäämiseen manuaalisesti.
Piilotettu lippu – Kyllä / Ei.
EAP-menetelmä + henkilöllisyys + vaihe 2 – Enterprise-verkoille, näytetään vain jos läsnä.
Upotetut URL-osoitteet SSID:ssä tai salasanassa – jotkut hyökkääjät sijoittavat tietojenkalastelun kentille.

Skanneri toimii selaimessasi; vain purettu teksti saavuttaa palvelimemme uhkaanalyysiä varten.

Ennen kuin napautat Yhdistä

Vastaako SSID täsmälleen paikan mainostamaa? Hämäävät nimet ovat tyypillinen merkki evil twin -hyökkäyksestä.
Onko suojaus WPA2 tai WPA3? Avoimet verkot ja WEP-verkot eivät ole luonnostaan vaarallisia, mutta ne eivät tarjoa salausta.
Jos kyseessä on Enterprise-verkko, kertoiko IT sinulle odottaa tätä QR-koodia? Odottamatta jaetut Enterprise-koodit ovat tietojenkalastelumerkki.
Onko sinulla mobiilidata muutenkin? Jos on, harkitse sen käyttämistä sen sijaan.
Vaihtaako paikka salasanaa säännöllisesti? Monet kahvilat tulostavan Wi-Fi-salasanan suoraan pöytään.

Aiheeseen liittyvää

Tarkasta Wi-Fi-QR

Pudota QR-kuva, liitä WIFI:-merkkijono tai käytä kameraa. Tuomio näyttää verkon nimen, suojaustyypin ja salasanan – ennen yhdistämistä.

Avaa skanneri →