What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

표준 · FIDO CTAP 2.2 하이브리드 (passkey QR)

이 passkey 로그인 QR을 스캔해야 하나요?

당신이 방금 QR을 표시하는 기기에서 passkey 로그인을 시작한 경우에만 그렇습니다. 다른 누군가가 QR을 생성했다면, 낯선 사람, “헬프데스크” 직원, 기술 지원 전화 상대 누구든, 당신의 휴대폰으로 그것을 스캔하면 당신이 아니라 그들이 당신 계정에 로그인됩니다. 이 프로토콜의 공개 표준(FIDO CTAP 2.2 하이브리드)은 견고합니다. 위협은 누가 먼저 “passkey로 로그인” 버튼을 눌렀는지를 둘러싼 사회공학입니다.

passkey QR 검사하기 → 모든 표준 →

기기 간 passkey 로그인이 작동하는 방식

passkey는 자격 증명, 즉 공개키/개인키 쌍으로, 당신의 기기 중 하나에 묶여 있습니다. example.com용 passkey를 휴대폰에 등록했다면, example.com의 로그인 챌린지에 서명할 수 있는 것은 당신의 휴대폰뿐입니다.

이는 당신이 휴대폰에서 로그인할 때는 잘 작동합니다. 하지만 그 사이트의 passkey가 없는 노트북에서 로그인할 때는 어떻게 될까요? 다음을 할 수 있습니다:

비밀번호를 입력한다, passkey의 의미 자체를 무너뜨립니다.
노트북에 새 passkey를 등록한다, 괜찮지만 이 노트북을 장기적으로 신뢰할 때만입니다.
기기 간 전송을 통해 휴대폰 passkey를 사용한다, 노트북이 QR을 표시하고, 휴대폰이 그것을 스캔하고, 휴대폰이 챌린지에 서명하고, 노트북 브라우저가 결과를 받아 로그인됩니다.

옵션 3이 바로 FIDO CTAP 2.2 “하이브리드”가 정의하는 것입니다. QR은 부트스트랩입니다. 휴대폰이 Bluetooth Low Energy를 통해 노트북을 발견하고, 일회용 보안 터널을 수립하고, WebAuthn 절차를 중계하는 데 필요한 정보를 충분히 담고 있습니다.

QR 안에 있는 것

URI는 다음과 같이 생겼습니다:

FIDO:/0123456789012345678901234567890123456789...

10진수 숫자는 CBOR 맵의 base10 인코딩입니다. base10 디코드 + CBOR 파싱 후, 맵에는 정수 키가 있습니다:

키 0, 상대 공개키

압축되지 않은 X9.62 공개키 바이트(P-256의 경우 33바이트). 휴대폰은 이를 사용해 암호화된 터널을 수립합니다.

키 1, QR 비밀 / 터널 논스

10바이트의 무작위 데이터. 이 특정 QR을 식별합니다. BLE 광고가 그 해시를 방송하므로 휴대폰이 올바른 노트북을 찾을 수 있습니다.

키 2, 작업 힌트

0 = make-credential(새 passkey 등록), 1 = get-assertion(로그인), 2 = discoverable-credential.

키 3, 터널 서버 도메인

직접 BLE에 도달할 수 없을 때(예: NAT 너머) 두 기기 사이의 터널을 중계하는 HTTPS 호스트입니다. 보통 cable.ua5v.com(Google)이나 cable.auth.com(Apple/MS) 같은 공급사 운영 서버입니다.

키 4, 타임스탬프

QR이 생성된 시점의 에포크 이후 초. 재생 공격 방지에 사용되며, 휴대폰은 몇 분보다 오래된 QR을 받아들이지 않습니다.

키 5, 상태 보조 플래그

불리언. 노트북이 휴대폰의 수동적 상태 유지 참여를 원하는지 나타냅니다(주로 자격 증명 열거 흐름과 관련됨).

위협 모델: 누가 “passkey로 로그인”을 먼저 눌렀는가?

프로토콜은 암호학적으로 견고합니다. Bluetooth 근접 확인은 실제이며 공격을 물리적으로 당신 근처에 있는 사람으로 제한합니다. 그렇다면 어떻게 잘못될 수 있을까요?

개시 단계의 사회공학을 통해서입니다. 공격자가 자신의 노트북에서 당신의 계정으로 passkey 로그인을 시작합니다. 그들의 노트북이 FIDO QR을 표시합니다. 그들은 어떻게든 그 QR을 당신 앞에 들이댑니다:

“기술 지원”이 전화해서 “계정을 확인”하기 위해 QR을 스캔하라고 요청합니다.
공격자의 화면이 QR을 표시하고 있는 “화면 공유” Zoom 통화에서 그것을 휴대폰으로 스캔하라고 요청합니다.
대면 사회공학 공격, 공격자가 커피숍에서 당신 옆에 앉아 QR을 보여주며 “로그인” 도움을 청합니다.
“새 로그인을 위해 신원을 확인”하려면 QR을 스캔하라고 요청하는 피싱 이메일. (진짜 FIDO QR은 수명이 짧습니다. 이메일은 QR이 만료된 한참 후에 도착하지만, 사용자는 그것을 모를 수 있습니다.)

당신이 스캔하면, 당신의 휴대폰이 당신의 passkey 서명을 공격자의 노트북 브라우저로 중계합니다. 당신이 passkey를 가진 사이트는 당신이 로그인했다고 여깁니다. 공격자는 이제 당신의 계정에 로그인되어 있습니다.

근접 확인은 도움이 되지 않습니다. 공격자가 물리적으로 그 자리에 있기 때문입니다. QR 내용도 도움이 되지 않습니다. 암호학적으로 유효하기 때문입니다. 로그인 목적지도 도움이 되지 않습니다. 당신이 passkey를 가진 올바른 사이트이기 때문입니다. 도움이 되는 유일한 것은 상황을 알아차리는 것입니다: 당신은 자신의 기기에서 “로그인”을 클릭해 직접 생성하지 않은 FIDO QR을 절대 스캔해서는 안 됩니다.

우리 스캐너가 보여주는 것

FIDO QR을 우리 스캐너에 끌어다 놓으면, 결과에는 다음이 표시됩니다:

작업 힌트, 이것이 로그인인가, passkey 등록인가, 아니면 discoverable-credential 작업인가?
터널 서버 도메인, 당신이 아는 공급사와 일치하는가(Google의 cable.ua5v.com, Apple의 터널 서버 등)?
QR의 타임스탬프, 방금 생성된 것인가, 아니면 오래되어 재생되었을 가능성이 높은가?
상대 공개키 길이와 QR 비밀 길이, QR이 구조적으로 유효한지에 대한 정합성 검사.

위협 등급은 항상 의심스러움입니다. 프로토콜이 깨졌기 때문이 아니라, 안전 판단이 상황에 따라 달라지며 스캐너는 누가 “로그인”을 눌렀는지 알 수 없기 때문입니다. 결과의 공지가 정확히 그것을 알려줍니다: “스캔은 누군가가 다른 기기에서 시작한 로그인을 완료합니다. 본인이 방금 로그인을 시작한 게 아니라면 거부하세요.”

언제 안전하고(또 언제 아닌지)

안전: 당신이 노트북 앞에 앉아 은행이나 이메일 사이트를 열고 “passkey로 로그인”을 클릭했더니 노트북이 QR을 표시했습니다. 휴대폰을 들어 QR을 스캔하고 근접 확인 프롬프트를 승인합니다. 완료입니다.

안전하지 않음: 당신이 아닌 누군가가 로그인을 시작한 경우. 여기에는 전화로 연락한 누구든, 원격 지원 통화 중인 누구든, QR을 이메일로 보낸 누구든, “신원을 확인할 QR”을 보여준 누구든, 그리고 방금 직접 표시한 당신 기기가 아닌 곳의 모든 QR이 포함됩니다.

QR이 당신이 시작한 로그인에서 온 것인지 확신할 수 없다면, 원래 기기에서 로그인을 취소하고(브라우저 탭을 닫고), 사용하려던 기기에서 처음부터 다시 시작하세요. 진짜 FIDO QR은 약 10분만 유효하므로, 다시 시작하면 진행 중인 세션이 모두 비워지고 위협이 불가능해집니다.

FIDO QR 검사하기

이미지를 끌어다 놓거나 FIDO: URI를 붙여넣으세요. 결과에는 작업, 터널 서버, 타임스탬프, 그리고 본인이 직접 로그인을 시작한 게 아니라면 거부하라는 강력한 경고가 표시됩니다.

스캐너 열기 →