मानक

हर QR मानक जिसे हम पहचानते हैं, समझाया गया

QR कोड एक कंटेनर है। अंदर क्या है — पेमेंट, वैक्सीन रिकॉर्ड, ड्राइवर लाइसेंस, या IoT डिवाइस — यही सुरक्षा निर्धारित करता है। हम हर फ़ॉर्मेट को डीकोड करते हैं।

स्कैनर आज़माएं → पूर्ण कवरेज देखें →

भुगतान मानक

पिछले पांच वर्षों में आपने जो हर QR मर्चेंट को पेमेंट करने के लिए स्कैन किया, वह EMVCo के TLV फ़ॉर्मेट पर चलता है। हम इसे पूरी तरह डीकोड करते हैं।

EMVCo MPM / CPM

वैश्विक स्तर पर हर मर्चेंट-प्रेज़ेंटेड QR पेमेंट का बेस स्टैंडर्ड। Tag-Length-Value टेक्स्ट, पारदर्शी, किसी भी QR स्कैनर द्वारा डीकोड योग्य।

हम दिखाते हैं: मर्चेंट नाम, शहर, देश, ISO 4217 करेंसी (पूर्ण नाम सहित), राशि, MCC कैटेगरी, स्टेटिक बनाम डायनामिक।

थ्रेट स्कोरिंग: अमान्य CRC → संदिग्ध (QR बदला गया है); टेस्ट/अनुपस्थित मर्चेंट आइडेंटिफ़ायर → संदिग्ध।

स्टिकर-स्वैप गहन जानकारी → · जनरेटर संदर्भ →

Pix (Brazil)

Brazilian Central Bank का इंस्टेंट-पेमेंट स्कीम। ट्रांज़ेक्शन वॉल्यूम के हिसाब से विश्व में अग्रणी।

हम दिखाते हैं: प्राप्तकर्ता Pix key (CPF / CNPJ / ईमेल / फ़ोन / EVP UUID), नाम, बैंक, राशि।

इसे कैसे बनाएं →

UPI (India)

India का Unified Payments Interface, उपयोगकर्ता संख्या के हिसाब से सबसे बड़ा। UPI Virtual Payment Address (VPA) + मर्चेंट जानकारी।

हम दिखाते हैं: payee VPA, payee नाम, राशि, currency, ट्रांज़ेक्शन संदर्भ।

इसे कैसे बनाएं →

Swiss QR-bill

ISO 20022 SPC v2.2, EMVCo नहीं। ऑरेंज/रेड Swiss पेमेंट स्लिप की जगह लेता है। 33 लाइन डेटा ब्लॉक।

हम दिखाते हैं: लेनदार IBAN, पूरा लेनदार पता, अंतिम देनदार जानकारी, राशि, currency, रेमिटेंस।

इसे कैसे बनाएं →

EPC Girocode (SEPA)

European Payments Council क्रेडिट-ट्रांसफ़र QR। जर्मनी, ऑस्ट्रिया, नीदरलैंड, बेल्जियम में व्यापक रूप से उपयोग।

हम दिखाते हैं: लाभार्थी नाम, IBAN, BIC, राशि, रेमिटेंस जानकारी।

इसे कैसे बनाएं →

ZATCA Fatoora (Saudi Arabia)

Kingdom में हर व्यावसायिक लेनदेन पर अनिवार्य क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित इनवॉइसिंग। TLV-एन्कोडेड।

हम दिखाते हैं: विक्रेता नाम, VAT पंजीकरण नंबर, ISO 8601 timestamp, इनवॉइस कुल, VAT राशि।

इसे कैसे बनाएं →

और भी बहुत कुछ: हम 54 देशों के लिए राष्ट्रीय भुगतान योजनाओं की पहचान करते हैं।

स्वास्थ्य क्रेडेंशियल

वैक्सीन रिकॉर्ड, प्रिस्क्रिप्शन, लैब परिणाम, और यात्रा प्रमाणपत्र। क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित, गोपनीयता-संवेदनशील।

SMART Health Cards

Numeric-एन्कोडेड JWS जो DEFLATE-compressed JSON payload को FHIR resources के साथ रैप करता है।

हम दिखाते हैं: जारीकर्ता URL, issuance का ISO timestamp, credential प्रकार।

हम कभी नहीं डीकोड करते: रोगी का नाम, जन्म तिथि, वैक्सीनेशन/टेस्ट विवरण।

EU Digital COVID Certificate (HC1)

HC1: प्रीफ़िक्स base45 → DEFLATE → COSE_Sign1 → CBOR → CWT चेन को रैप करता है जो HCERT क्लेम तक पहुंचती है।

हम दिखाते हैं: जारीकर्ता देश (ISO 3166-1), issued-not-before समय, समाप्ति समय, credential प्रकार।

हम कभी नहीं डीकोड करते: रोगी का नाम, जन्म तिथि, खुराक तिथियां, यूनिक सर्टिफिकेट पहचानकर्ता।

पहचान दस्तावेज़

ड्राइवर लाइसेंस, मोबाइल ID, और डिजिटल पहचान वॉलेट। कार्ड के पीछे का बारकोड उससे कहीं अधिक एन्कोड करता है जितना आगे दिखता है।

AAMVA driver license

हर अमेरिकी और कनाडाई ड्राइवर लाइसेंस के पीछे का PDF417 बारकोड। AAMVA Card Design Standard परिशिष्ट D.12.5 के अनुसार सबफ़ाइल-एलिमेंट फ़ॉर्मेट।

हम दिखाते हैं (~17 फ़ील्ड): पहला/मध्य/अंतिम नाम, ISO-फ़ॉर्मेटेड जन्म तिथि और समाप्ति तिथि, लिंग, ऊंचाई, आंख का रंग, बाल का रंग, पूरा पता, राज्य/क्षेत्र, देश, AAMVA CDS संस्करण, REAL ID अनुपालन फ़्लैग।

डिफ़ॉल्ट रूप से संवेदनशील: लाइसेंस नंबर + जन्म तिथि टैप-टू-रिवील के पीछे दिखती है।

पूरी संरचना → · जनरेटर संदर्भ →

Mobile Driver License (ISO 18013-5)

mdoc: QR जो आपका iOS / Android मोबाइल ड्राइवर लाइसेंस तब दिखाता है जब किसी वेरिफ़ायर को सौंपा जाता है।

हम दिखाते हैं: प्रोटोकॉल संस्करण, cipher suite (P-256 ECDH-ES + A256GCM), एंगेजमेंट मेथड।

हम कभी नहीं डीकोड करते: धारक की ephemeral public key bytes।

पूर्ण mDL गाइड →

EU Digital ID Wallet (eIDAS 2.0)

OpenID4VP और eudi-openid4vp स्कीम क्रॉस-बॉर्डर पहचान प्रेज़ेंटेशन के लिए। मेम्बर-स्टेट eIDAS 2.0 वॉलेट से जुड़ा है।

हम दिखाते हैं: प्रोटोकॉल फ़ैमिली (openid4vp / eudi-openid4vp / mdoc-openid4vp), verifier का डोमेन।

DID URIs

Decentralized Identifiers, did:web, did:key, did:ion, did:ebsi, और अन्य मेथड। वेरिफ़िएबल क्रेडेंशियल प्रेज़ेंटेशन में उपयोग।

हम दिखाते हैं: DID मेथड, मेथड-स्पेसिफ़िक आइडेंटिफ़ायर, सर्विस पैरामीटर।

प्रमाणीकरण और पासकी

QR-लॉगिन फ़्लो जो आपके हर खाते को सुरक्षित (या खतरे में) रखते हैं। हम FIDO2 cross-device auth, TOTP सेटअप, और OTP माइग्रेशन पेलोड की पहचान करते हैं।

FIDO CTAP 2.2 hybrid

क्रॉस-डिवाइस पासकी QR जो आपका लैपटॉप तब दिखाता है जब आप किसी दूसरे डिवाइस पर पासकी से साइन इन करते हैं। हाइब्रिड ट्रांसपोर्ट (CTAP 2.2)।

हम दिखाते हैं: ऑपरेशन (make-credential / get-assertion / discovery), टनल एंडपॉइंट डोमेन, QR ट्रांसपोर्ट।

कठोर चेतावनी: इस QR को स्कैन करने से कोई ऐसा साइन-इन पूरा होता है जो किसी ने शुरू किया था। इसे केवल अपने डिवाइस की स्क्रीन से स्कैन करें।

पढ़ें: क्या मुझे यह पासकी साइन-इन QR स्कैन करना चाहिए? →

HOTP / TOTP (2FA setup)

RFC 4226 / RFC 6238 one-time-password सेटअप QR। otpauth:// URI जो आपका बैंक या ऐप 2FA सेटअप करते समय दिखाता है।

हम दिखाते हैं: जारीकर्ता, खाता, एल्गोरिदम (SHA1 / SHA256 / SHA512), अवधि, अंक काउंट।

डिफ़ॉल्ट रूप से संवेदनशील: Base32 सीक्रेट टैप-टू-रिवील के पीछे दिखता है।

TOTP → · HOTP →

Authenticator export (otpauth-migration)

Google Authenticator बल्क-एक्सपोर्ट QR। authenticator ऐप में हर 2FA सीक्रेट को proto3-एन्कोडेड, DEFLATE-compressed बाइनरी में ले जाता है।

हम दिखाते हैं (प्रति प्रविष्टि): जारीकर्ता, खाता, प्रकार (HOTP / TOTP), एल्गोरिदम, डिजिट काउंट।

हम कभी नहीं डीकोड करते: वास्तविक सीक्रेट सीड bytes। टेस्ट द्वारा सत्यापित।

कठोर चेतावनी: threat class likely_dangerous है जब तक उपयोगकर्ता ने जानबूझकर अपने स्वयं के ऐप से एक्सपोर्ट नहीं किया।

पूर्ण संरचना + सुरक्षा गाइड →

Sign-In with Ethereum (SIWE / EIP-4361)

सादा-टेक्स्ट लॉगिन संदेश जिस पर आपका वॉलेट वॉलेट पते के नियंत्रण को साबित करने के लिए हस्ताक्षर करता है।

हम दिखाते हैं: साइट डोमेन, वॉलेट पता, चेन ID, nonce, समाप्ति, जारी किया गया।

चेतावनी: साइट और statement को ध्यान से पढ़ें, एक दुर्भावनापूर्ण साइट statement में मनमाना टेक्स्ट डाल सकती है।

यात्रा और टिकट

IATA boarding pass (Resolution 792)

आपके एयरलाइन बोर्डिंग पास पर QR / Aztec / PDF417। फ़िक्स्ड-विड्थ हेडर (60 कैरेक्टर) + प्रति सेगमेंट डेटा: कैरियर, फ़्लाइट नंबर, मूल, गंतव्य, PNR/बुकिंग संदर्भ, सीट, क्लास।

हम दिखाते हैं (प्रति सेगमेंट): कैरियर कोड + फ़्लाइट नंबर (ज़ीरो-स्ट्रिप्ड), मूल + गंतव्य (IATA), डिपार्चर तिथि, सीट नंबर, यात्री का नाम।

डिफ़ॉल्ट रूप से संवेदनशील: PNR / बुकिंग संदर्भ टैप-टू-रिवील के पीछे दिखता है।

पूर्ण फ़ील्ड-बाई-फ़ील्ड गाइड →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

हम दिखाते हैं: SM-DP+ FQDN (कैरियर सर्वर जो आपके फ़ोन से बात करेगा), Activation Code token की उपस्थिति।

चेतावनी: एक इंस्टॉल्ड eSIM प्रोफ़ाइल SMS को इंटरसेप्ट कर सकता है, जिसमें 2FA कोड शामिल हैं।

eSIM activation QR कैसे काम करते हैं →

स्मार्ट होम और IoT

Matter onboarding

Connectivity Standards Alliance का MT:-प्रीफ़िक्स्ड base38 पैक्ड-बाइनरी कोड। स्मार्ट होम डिवाइस कमीशनिंग के लिए।

हम दिखाते हैं: Vendor ID, Product ID, discriminator, 8-अंकीय सेटअप पासकोड (टैप-टू-रिवील), डिस्कवरी कैपेबिलिटीज़।

पूर्ण Matter गाइड →

Apple HomeKit (X-HM://)

Apple HAP accessory-setup URI। Matter से पहले का; अभी भी कई एक्सेसरी पर शिप होता है जो Matter के लिए अपडेट नहीं हुए।

Wi-Fi Easy Connect (DPP)

Wi-Fi Alliance Device Provisioning Protocol, WPS का आधुनिक प्रतिस्थापन। 2025-युग के राउटर और IoT हब पर उपयोग।

Bluetooth Auracast (BAU v1.0)

Bluetooth SIG का LE Audio प्रसारण के लिए QR स्कीम। सर्विस UUID 184F LE Audio ब्रॉडकास्ट सोर्स की पहचान करता है। ट्रांसपोर्ट LGTH, BIS, और ब्रॉडकास्ट नाम को एन्कोड करता है।

क्रिप्टो और Lightning

Bitcoin (BIP-21)

मानक Bitcoin पेमेंट URI। हम पता, राशि (BTC/sat यूनिट रूपांतरण सहित), और वैकल्पिक लेबल/संदेश को सर्फेस करते हैं।

Ethereum (EIP-681)

चेन सिलेक्शन के साथ Ethereum पेमेंट रिक्वेस्ट URI। हम प्राप्तकर्ता बनाम कॉन्ट्रैक्ट कॉल को डीकोड करते हैं।

चेतावनी: एक कॉन्ट्रैक्ट कॉल एक साधारण सेंड के समान नहीं है, वॉलेट अनुमोदन से पहले सिम्युलेशन दिखाए बिना हस्ताक्षर न करें।

WalletConnect (ERC-1328)

dApp↔wallet पेयरिंग URI। हम संस्करण (v2 वर्तमान; v1 deprecated), relay URL, और symKey उपस्थिति को सर्फेस करते हैं।

Solana Pay

Solana Foundation का ट्रांसफ़र-रिक्वेस्ट URI। हम प्राप्तकर्ता, राशि, SPL टोकन, और संदर्भ को सर्फेस करते हैं।

Lightning Network (BOLT-12, LNURL)

BOLT-12 ऑफ़र (lno1…) पुन: उपयोग योग्य Lightning पेमेंट रिक्वेस्ट हैं। LNURL (lnurl1…) Lightning सेवाओं के लिए एन्कोडेड HTTPS एंडपॉइंट हैं।

Cashu ecash

Bearer ecash टोकन। हर दूसरे क्रिप्टो फ़ॉर्मेट से अलग क्योंकि टोकन ही धन है, कोई ऑन-चेन पुष्टि नहीं। इसे शेयर करने का मतलब है इसे दे देना।

डिफ़ॉल्ट रूप से संवेदनशील: टोकन स्ट्रिंग मास्क; verdict ज़ोरदार चेतावनी देता है।

Nostr (NIP-19)

Bech32-एन्कोडेड Nostr आइडेंटिफ़ायर। हम npub (public key), nsec (private key — संवेदनशील), note, nevent, nprofile, naddr को पहचानते हैं।

nsec संवेदनशील: एक QR में Nostr प्राइवेट की का मतलब है कि धारक ने इसे स्कैन करने वाले के साथ शेयर किया। verdict मास्क करता है और चेतावनी देता है।

औद्योगिक और नियामक

GS1 Digital Link

वह मानक जो उपभोक्ता उत्पादों के लिए 1-D बारकोड की जगह लेगा। Application Identifier / value जोड़े एक URL में, GTIN, बैच, समाप्ति, सीरियल और बहुत कुछ एन्कोड करते हैं।

हम दिखाते हैं: GTIN (01), बैच / लॉट (10), उत्पादन तिथि (11), बेस्ट-बिफ़ोर (15), समाप्ति (17), सीरियल (21)।

GS1 Digital Link कैसे बनाएं →

EU Digital Product Passport

EU रेगुलेशन के तहत हर उपभोक्ता उत्पाद को एक डिजिटल पासपोर्ट (सस्टेनेबिलिटी, सामग्री, मरम्मत योग्यता) ले जाना होगा।

QR खुद आज हमारे GS1 Digital Link एनालाइज़र के ज़रिए डीकोड होता है; पासपोर्ट कंटेंट लाइव होते ही लिंक-थ्रू आएगा।

पूर्ण अवलोकन + पासपोर्ट में क्या है →

VPN और डेवलपर क्रेडेंशियल

WireGuard config

INI-फ़ॉर्मेट WireGuard VPN कॉन्फ़िगरेशन। हम इंटरफ़ेस एड्रेस, DNS, लिसनिंग पोर्ट, पीयर एंडपॉइंट, और AllowedIPs को सर्फेस करते हैं।

डिफ़ॉल्ट रूप से संवेदनशील: इंटरफ़ेस प्राइवेट की और preshared key टैप-टू-रिवील के पीछे दिखती हैं।

SSH public key

OpenSSH authorized_keys फ़ॉर्मेट (ssh-ed25519 / ssh-rsa / ssh-ecdsa)। हम एल्गोरिदम और key fingerprint को सर्फेस करते हैं।

X.509 certificate / JWT

PEM-armored X.509 certs और raw JWT compact serializations। हम cert को DER-walk करके Subject, Issuer, SANs, validity निकालते हैं।

JWT गोपनीयता: हम हेडर से केवल alg + typ सर्फेस करते हैं लेकिन JWT payload को कभी डीकोड नहीं करते।

PGP key block

OpenPGP PUBLIC / PRIVATE KEY block। हम केवल फ़ॉर्मेट सर्फेस करते हैं, key material को डीकोड या ट्रांसमिट नहीं किया जाता।

हम जो सिम्बोलॉजी डीकोड करते हैं (दृश्य कोड)

एक सिम्बोलॉजी *कंटेनर* है, डॉट्स और वर्गों की आकृति। ऊपर के मानक सामग्री के बारे में हैं। ये सिम्बोलॉजी उन्हें धारण करने वाली आकृति के बारे में हैं।

QR Code (ISO/IEC 18004)

Model 1 (1994 मूल), Model 2 (वर्तमान वैश्विक मानक), Micro QR (छोटे पैकेजिंग के लिए), rMQR (आयताकार, 2022)।

Aztec Code (ISO/IEC 24778)

Eurostar, SBB, और कई यूरोपीय ट्रांज़िट टिकटों पर इस्तेमाल होने वाली बुलसाई-फ़ाइंडर सिम्बोलॉजी। Aztec केंद्र-बाहर डेटा एन्कोड करता है, QR कोड की तरह कोने में नहीं।

Aztec के बारे में अधिक →

Data Matrix (ISO/IEC 16022)

डेंस स्माल-फ़ॉर्मेट सिम्बोलॉजी। GS1 रिटेल, DSCSA फ़ार्मा, MIL-STD-130 डिफ़ेंस ट्रैकिंग द्वारा उपयोग की जाती है।

Data Matrix के बारे में अधिक →

PDF417 (ISO/IEC 15438)

स्टैक्ड लीनियर सिम्बोलॉजी जो US/CA ड्राइवर लाइसेंस (AAMVA), शिपिंग लेबल, एयरलाइन बोर्डिंग पास (BCBP) पर उपयोग होती है।

PDF417 के बारे में अधिक →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF, लीनियर सिम्बोलॉजी जो GS1 रिटेल, शिपिंग, और हेल्थकेयर ट्रैकिंग पर हावी है।

यह क्यों मायने रखता है

एक QR की सुरक्षा उसके URL की सुरक्षा नहीं है, यह उस मानक की सुरक्षा है जो उसके अंदर की चीज़ को नियंत्रित करता है।

ऊपर हर एनालाइज़र स्पष्ट है कि वह क्या सर्फेस करता है और क्या जानबूझकर मास्क करता है, ताकि आप सत्यापित कर सकें।

पूर्ण कवरेज देखें → स्कैनर आज़माएं →