What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Standard · FIDO CTAP 2.2 hybrid (QR di passkey)

Dovrei scansionare questo QR di accesso con passkey?

Solo se è LEI ad aver appena avviato un accesso con passkey sul dispositivo che mostra il QR. Se chiunque altro ha generato il QR, uno sconosciuto, un agente dell'"assistenza", una telefonata di supporto tecnico, scansionarlo sul suo telefono fa accedere quella persona al suo account, non lei. Lo standard aperto del protocollo (FIDO CTAP 2.2 hybrid) è solido; la minaccia è l'ingegneria sociale su chi ha premuto per primo il pulsante "Accedi con una passkey".

Controlla un QR di passkey → Tutti gli standard →

Come funziona l'accesso con passkey cross-device

Una passkey è una credenziale, una coppia di chiavi pubblica/privata, legata a uno dei suoi dispositivi. Se ha registrato una passkey per example.com sul suo telefono, solo il suo telefono può firmare la sfida di accesso per example.com.

Questo funziona bene quando l'accesso avviene SUL suo telefono. Ma cosa succede quando accede da un portatile che non ha una passkey per quel sito? Può:

Digitare la password, vanifica del tutto lo scopo delle passkey.
Registrare una nuova passkey sul portatile, va bene, ma solo se si fida di questo portatile a lungo termine.
Usare la passkey del telefono tramite trasporto cross-device, il portatile mostra un QR, il suo telefono lo scansiona, il telefono firma la sfida, il browser del portatile riceve il risultato e l'accesso è effettuato.

L'opzione 3 è ciò che definisce il FIDO CTAP 2.2 "hybrid". Il QR è il bootstrap, contiene informazioni sufficienti perché il suo telefono individui il portatile tramite Bluetooth Low Energy, stabilisca un tunnel sicuro monouso e faccia da proxy per la cerimonia WebAuthn.

Cosa c'è dentro il QR

L'URI ha questo aspetto:

FIDO:/0123456789012345678901234567890123456789...

Le cifre decimali sono una codifica base10 di una mappa CBOR. Dopo la decodifica base10 e il parsing CBOR, la mappa ha chiavi intere:

Chiave 0, chiave pubblica del peer

Byte della chiave pubblica X9.62 non compressa (33 byte per P-256). Il telefono li usa per stabilire il tunnel cifrato.

Chiave 1, segreto del QR / nonce del tunnel

10 byte di dati casuali. Identifica questo specifico QR; l'annuncio BLE trasmette un hash di questo valore così il telefono può trovare il portatile giusto.

Chiave 2, suggerimento sull'operazione

0 = make-credential (registrazione di una nuova passkey), 1 = get-assertion (accesso), 2 = discoverable-credential.

Chiave 3, dominio del server del tunnel

L'host HTTPS che fa da proxy al tunnel tra i due dispositivi quando il BLE diretto non è raggiungibile (ad es., attraverso NAT). Di solito un server gestito da un fornitore come cable.ua5v.com (Google) o cable.auth.com (Apple/MS).

Chiave 4, timestamp

Secondi dall'epoch quando il QR è stato generato. Usato per la protezione dal replay, il telefono rifiuta di onorare un QR più vecchio di qualche minuto.

Chiave 5, flag di assistenza dello stato

Booleano. Indica se il portatile vuole che il telefono partecipi al mantenimento passivo dello stato (rilevante soprattutto per i flussi di enumerazione delle credenziali).

Il modello di minaccia: chi ha premuto per primo "Accedi con una passkey"?

Il protocollo è crittograficamente solido. Il controllo di prossimità Bluetooth è reale e limita l'attacco a chiunque sia fisicamente vicino a lei. Quindi come va storto?

Tramite l'ingegneria sociale sull'avvio. L'aggressore avvia un accesso con passkey al SUO account sul PROPRIO portatile. Il loro portatile mostra un QR FIDO. In qualche modo le mettono quel QR davanti:

L'"assistenza tecnica" la chiama e le chiede di scansionare un QR per "verificare il suo account".
Una chiamata Zoom a "schermo condiviso" in cui lo schermo dell'aggressore mostra il QR e le chiede di scansionarlo sul suo telefono.
Un attacco di ingegneria sociale di persona, l'aggressore si siede accanto a lei in un bar, mostra un QR, le chiede aiuto per "accedere".
Un'email di phishing che le chiede di scansionare un QR per "confermare la sua identità per il nuovo accesso". (I QR FIDO reali hanno vita breve; un'email arriva ben dopo che il QR è scaduto, ma l'utente potrebbe non saperlo.)

Se lei scansiona, il suo telefono inoltra la sua firma con passkey a il browser del portatile dell'aggressore. Il sito per cui ha una passkey crede che lei abbia effettuato l'accesso. L'aggressore è ora collegato al suo account.

Noti che il controllo di prossimità non aiuta, l'aggressore è fisicamente presente. Il contenuto del QR non aiuta, è crittograficamente valido. La destinazione dell'accesso non aiuta, è il sito corretto per cui ha una passkey. L'unica cosa che aiuta è riconoscere la situazione: non dovrebbe mai scansionare un QR FIDO che non ha generato lei stesso cliccando su "Accedi" sul proprio dispositivo.

Cosa evidenzia il nostro scanner

Quando trascina un QR FIDO nel nostro scanner, il verdetto mostra:

Il suggerimento sull'operazione, si tratta di un accesso, di una registrazione di passkey o di un'operazione discoverable-credential?
Il dominio del server del tunnel, corrisponde a un fornitore che riconosce (cable.ua5v.com di Google, il server del tunnel di Apple, ecc.)?
Il timestamp del QR, è stato appena generato oppure è obsoleto e probabilmente riutilizzato in un replay?
La lunghezza della chiave pubblica del peer e la lunghezza del segreto del QR, controlli di coerenza che il QR sia strutturalmente valido.

La classe di minaccia è sempre sospetta, non perché il protocollo sia compromesso ma perché la valutazione di sicurezza è contestuale e lo scanner non può sapere chi ha premuto "Accedi". La divulgazione del verdetto lo dice esattamente: "la scansione completa un accesso che qualcuno HA AVVIATO SU UN ALTRO DISPOSITIVO. Se non ha appena avviato lei stesso un accesso, rifiuti."

Quando è sicuro (e quando non lo è)

Sicuro: si è seduto al suo portatile, ha aperto il sito della sua banca o della sua email, ha cliccato su "Accedi con una passkey" e il portatile ha mostrato il QR. Prende il telefono, scansiona il QR, approva la richiesta di prossimità. Fatto.

Non sicuro: chiunque tranne lei ha avviato l'accesso. Questo include chiunque al telefono, chiunque in una chiamata di assistenza remota, chiunque le abbia inviato un QR via email, chiunque le abbia mostrato un "QR per verificare la sua identità" e qualsiasi QR in un luogo che non sia il suo dispositivo appena visualizzato.

Se non è sicuro che un QR provenga da un accesso che ha avviato LEI, annulli l'accesso sul dispositivo originale (chiuda la scheda del browser), poi ricominci da capo sul dispositivo che intendeva usare. I QR FIDO reali sono validi solo per circa 10 minuti, riavviare elimina ogni sessione in corso e rende la minaccia impossibile.

Correlati

Ispeziona un QR FIDO

Trascini l'immagine o incolli l'URI FIDO:. Il verdetto mostra operazione, server del tunnel, timestamp e un avviso netto a rifiutare a meno che non abbia avviato lei stesso l'accesso.

Apri lo scanner →