What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Standar · FIDO CTAP 2.2 hybrid (passkey QR)

Haruskah saya memindai QR masuk passkey ini?

Hanya jika ANDA baru saja memulai proses masuk dengan passkey di perangkat yang menampilkan QR. Jika orang lain yang membuat QR tersebut — orang asing, agen "helpdesk", panggilan dukungan teknis — memindainya di ponsel Anda akan menandatangani mereka ke akun Anda, bukan Anda. Standar terbuka protokolnya (FIDO CTAP 2.2 hybrid) solid; ancamannya adalah rekayasa sosial seputar siapa yang pertama menekan tombol "Masuk dengan passkey".

Periksa QR passkey → Semua standar →

Cara kerja masuk passkey lintas perangkat

Passkey adalah kredensial — pasangan kunci publik/privat — yang terikat ke salah satu perangkat Anda. Jika Anda mendaftarkan passkey untuk example.com di ponsel, hanya ponsel Anda yang dapat menandatangani tantangan login untuk example.com.

Itu berfungsi baik saat Anda masuk DI ponsel Anda. Tapi apa yang terjadi saat Anda masuk di laptop yang tidak memiliki passkey untuk situs tersebut? Anda bisa:

Ketik kata sandi Anda — mengalahkan seluruh tujuan passkey.
Daftarkan passkey baru di laptop — boleh, tapi hanya jika Anda mempercayai laptop ini jangka panjang.
Gunakan passkey ponsel melalui transportasi lintas perangkat — laptop menampilkan QR, ponsel Anda memindainya, ponsel menandatangani tantangan, browser laptop menerima hasilnya dan Anda berhasil masuk.

Opsi 3 adalah yang didefinisikan FIDO CTAP 2.2 "hybrid". QR adalah bootstrap — membawa cukup informasi agar ponsel Anda dapat menemukan laptop melalui Bluetooth Low Energy, membuat terowongan aman satu kali, dan memproksi upacara WebAuthn.

Apa yang ada di dalam QR

URI-nya terlihat seperti:

FIDO:/0123456789012345678901234567890123456789...

Angka desimal adalah pengkodean base10 dari map CBOR. Setelah decode base10 + parsing CBOR, map memiliki kunci integer:

Kunci 0, kunci publik peer

Byte kunci publik X9.62 tidak terkompresi (33 byte untuk P-256). Ponsel menggunakannya untuk membangun terowongan terenkripsi.

Kunci 1, rahasia QR / nonce terowongan

10 byte data acak. Mengidentifikasi QR spesifik ini; iklan BLE menyiarkan hash-nya sehingga ponsel dapat menemukan laptop yang tepat.

Kunci 2, petunjuk operasi

0 = make-credential (mendaftarkan passkey baru), 1 = get-assertion (masuk), 2 = discoverable-credential.

Kunci 3, domain server terowongan

Host HTTPS yang memproksi terowongan antara dua perangkat ketika BLE langsung tidak tersedia (mis. melewati NAT). Biasanya server yang dioperasikan vendor seperti cable.ua5v.com (Google) atau cable.auth.com (Apple/MS).

Kunci 4, stempel waktu

Detik sejak epoch saat QR dibuat. Digunakan untuk perlindungan replay — ponsel menolak QR yang lebih lama dari beberapa menit.

Kunci 5, flag state-assisted

Boolean. Menunjukkan apakah laptop ingin ponsel berpartisipasi dalam pemeliharaan status pasif (sebagian besar relevan untuk alur enumerasi kredensial).

Model ancaman: siapa yang pertama menekan "Masuk dengan passkey"?

Protokolnya secara kriptografi kuat. Pemeriksaan kedekatan Bluetooth nyata dan membatasi serangan pada siapa pun yang berada secara fisik dekat dengan Anda. Jadi bagaimana ini bisa salah?

Melalui rekayasa sosial pada inisiasi. Penyerang memulai proses masuk passkey ke akun ANDA di laptop MEREKA. Laptop mereka menampilkan QR FIDO. Mereka meletakkan QR itu di hadapan Anda entah bagaimana:

"Dukungan teknis" menelepon Anda dan meminta memindai QR untuk "memverifikasi akun Anda".
Panggilan Zoom "layar bersama" di mana layar penyerang menampilkan QR dan meminta Anda memindainya di ponsel.
Serangan rekayasa sosial langsung — penyerang duduk di sebelah Anda di kedai kopi, menunjukkan QR, meminta bantuan untuk "masuk".
Email phishing yang meminta memindai QR untuk "mengonfirmasi identitas Anda untuk login baru". (QR FIDO nyata berumur pendek; email tiba jauh setelah QR kedaluwarsa, tapi pengguna mungkin tidak mengetahuinya.)

Jika Anda memindai, ponsel Anda memproksi tanda tangan passkey ke browser laptop penyerang. Situs yang memiliki passkey Anda mengira Anda masuk. Penyerang sekarang masuk ke akun Anda.

Perhatikan bahwa pemeriksaan kedekatan tidak membantu — penyerang hadir secara fisik. Konten QR tidak membantu — mereka secara kriptografi valid. Tujuan login tidak membantu — itu adalah situs yang benar yang memiliki passkey Anda. Satu-satunya hal yang membantu adalah mengenali situasinya: Anda tidak boleh pernah memindai QR FIDO yang tidak Anda buat sendiri dengan mengklik "Masuk" di perangkat Anda sendiri.

Apa yang ditampilkan pemindai kami

Ketika Anda memasukkan QR FIDO ke pemindai kami, hasilnya menampilkan:

Petunjuk operasi — apakah ini masuk, pendaftaran passkey, atau operasi discoverable-credential?
Domain server terowongan — apakah cocok dengan vendor yang Anda kenal (Google's cable.ua5v.com, server terowongan Apple, dll.)?
Stempel waktu QR — apakah ini baru dibuat, atau sudah basi dan kemungkinan diputar ulang?
Panjang kunci-publik-peer dan panjang rahasia-QR — pemeriksaan integritas bahwa QR secara struktural valid.

Kelas ancaman selalu mencurigakan — bukan karena protokolnya rusak melainkan karena keputusan keamanan bersifat kontekstual dan pemindai tidak dapat mengetahui siapa yang menekan "Masuk". Pengungkapan hasil menyatakan persis itu: "memindai menyelesaikan proses masuk yang SESEORANG MULAI DI PERANGKAT LAIN. Jika Anda baru saja tidak memulai proses masuk sendiri, tolak."

Kapan aman (dan kapan tidak)

Aman: Anda duduk di laptop, membuka situs bank atau email, mengklik "Masuk dengan passkey", dan laptop Anda menampilkan QR. Anda mengambil ponsel, memindai QR, menyetujui permintaan kedekatan. Selesai.

Tidak aman: siapa pun selain Anda yang memulai proses masuk. Ini termasuk siapa pun melalui telepon, siapa pun dalam panggilan dukungan jarak jauh, siapa pun yang mengirim QR melalui email, siapa pun yang menunjukkan "QR untuk memverifikasi identitas Anda", dan QR mana pun di tempat yang bukan perangkat Anda sendiri yang baru ditampilkan.

Jika Anda tidak yakin apakah QR berasal dari proses masuk yang Anda mulai, batalkan masuk di perangkat asli (tutup tab browser), lalu mulai ulang dari awal di perangkat yang Anda inginkan. QR FIDO nyata hanya berlaku sekitar 10 menit — memulai ulang akan membersihkan sesi yang sedang berlangsung dan membuat ancaman menjadi mustahil.

Terkait

Periksa QR FIDO

Masukkan gambar atau tempel URI FIDO:. Hasilnya menampilkan operasi, server terowongan, stempel waktu, dan peringatan keras untuk menolak kecuali Anda yang memulai masuk.

Buka pemindai →