Standaarden

Elke QR-standaard die wij herkennen, uitgelegd

Een QR-code is een container. Wat er in zit kan een betaling zijn, een vaccinatierecord, een rijbewijs, een eSIM, een passkey-aanmelding, een smart-home-koppeling: elk geregeld door zijn eigen internationale standaard, met zijn eigen dreigingsmodel. Dit is de gezaghebbende referentie voor elke standaard die onze scanner herkent, wat er werkelijk in zit wanneer u hem scant en precies wat wij tonen versus bewust maskeren.

Probeer de scanner → Bekijk volledige dekking →

Betalingsstandaarden

Elke QR die u de afgelopen vijf jaar heeft gescand om een handelaar te betalen, werkt op de TLV-omlijsting van EMVCo, maar de inhoud is landspecifiek. Wij identificeren het specifieke schema, decoderen de handelaarsvelden die u moet verifiëren vóór betaling en valideren de CRC-controlesom die aanvallers via stickerwissel niet kunnen vervalsen.

EMVCo MPM / CPM

De basisstandaard voor elke door de handelaar gepresenteerde QR-betaling wereldwijd. Tag-Length-Value-raamwerk met handelaarsnaam, stad, land, valuta, bedrag, rekeninggegevens ontvanger en een CRC-16/CCITT-FALSE-controlesom.

Wij tonen: handelaarsnaam, stad, land, ISO 4217-valuta (volledige tabel, 169 codes), MCC-categorie, bedrag, dynamisch vs. statisch, fooiindicator, aanvullende-gegevenssubvelden (referentielabel, factuurnummer, klantnummer, terminallabel, doel).

Dreigingsscoring: ongeldige CRC → verdacht (de QR is gewijzigd of beschadigd, het betrouwbaarste signaal van een stickerwissel-aanval).

Diepgaand: stickerwissel-aanval → · Generatorreferentie →

Pix (Brazil)

Het instant-betalingsschema van de Braziliaanse Centrale Bank. Wereldleider op transactievolume. Twee varianten: statisch (een herbruikbare QR) en dynamisch (eenmalige QR met een ingebedde transactie-ID).

Wij tonen: Pix-sleutel ontvanger (CPF / CNPJ / e-mail / telefoon / EVP UUID), betalingsomschrijving, dynamische-QR-URL indien aanwezig.

Hoe er een te maken →

UPI (India)

India's Unified Payments Interface, de grootste qua gebruikersaantal. Het UPI Virtual Payment Address (VPA) routeert betalingen in realtime tussen banken.

Wij tonen: VPA begunstigde, naam begunstigde, bedrag, valuta, transactiereferentie, MCC, transactienota.

Hoe er een te maken →

Swiss QR-bill

ISO 20022 SPC v2.2, niet EMVCo. Vervangt het oranje/rode Zwitserse betaalstrookje. 33 regelgescheiden velden voor crediteur, uiteindelijke crediteur, uiteindelijke debiteur, referentietype (QRR / SCOR / NON), factureringsinfo en alternatieve procedures.

Wij tonen: IBAN crediteur, volledig adres crediteur, uiteindelijke debiteur, bedrag, valuta, referentietype nette weergave, gestructureerde referentie, ongestructureerd bericht, eBill-alt-procedure-URL.

Hoe er een te maken →

EPC Girocode (SEPA)

European Payments Council kredietoverdracht-QR. Veel gebruikt in Duitsland, Oostenrijk, Nederland en de Noordse landen voor factuurbetaling.

Wij tonen: naam begunstigde, IBAN, BIC, bedrag, betalingskenmerk, doelcode.

Hoe er een te maken →

ZATCA Fatoora (Saudi Arabia)

Cryptografisch ondertekende facturering, verplicht bij elke commerciële transactie in het Koninkrijk. TLV-gecodeerd met vijf verplichte tags (verkoper, BTW-nummer, tijdstempel, totaal, BTW-bedrag) plus een ECDSA-handtekening.

Wij tonen: naam verkoper, BTW-registratienummer, ISO 8601-tijdstempel, factuurtotaal, BTW-bedrag.

Hoe er een te maken →

En nog veel meer: wij identificeren nationale betalingsschema's voor 54 landen: PromptPay (Thailand), PayNow (Singapore), DuitNow (Maleisië), QRIS (Indonesië), Bizum (Spanje), Swish (Zweden), MB WAY (Portugal), BLIK (Polen), Wero (EU) en tientallen andere in de analysercatalogus.

Gezondheidscredentials

Vaccinatiegegevens, recepten, laboratoriumresultaten en reiscertificaten. Cryptografisch ondertekend door nationale gezondheidsautoriteiten. Wij identificeren de credential en tonen de uitgever + type, maar decoderen bewust nooit de naam, geboortedatum of medische geschiedenis van de patiënt. Uw wallet-app is de juiste plek om die te bekijken.

SMART Health Cards

Numeriek gecodeerde JWS omhullend een DEFLATE-gecomprimeerde JSON-payload met FHIR-resources. Gebruikt door Apple Wallet, het Common Trust Network, Amerikaanse staten, Canadese provincies en verschillende apothekersketens voor vaccin- en laboratoriumrecords.

Wij tonen: uitgever-URL, ISO-tijdstempel van uitgifte, credentialtype (covid19 / immunisatie / lab / etc.), FHIR-versie, aantal resources + typen.

Wij decoderen nooit: patiëntnaam, geboortedatum, vaccinatie-/testdata, afzonderlijke FHIR-resource-bodys. Testbeveiligd in de analysersuite.

EU Digital COVID Certificate (HC1)

Het HC1:-prefix omhult een base45 → DEFLATE → COSE_Sign1 → CBOR → CWT-keten die eindigt in een EU-gedefinieerde HCERT-claim. Nog steeds gebruikt voor niet-COVID reisdocumenten in sommige lidstaten na het aflopen van de COVID-noodtoestand.

Wij tonen: uitgevend land (ISO 3166-1), uitgegeven-niet-voor-tijdstempel, vervaltijdstempel, schemaversie, referentietype (vaccinatie / test / herstel), doelziekte (SNOMED-CT, "COVID-19" weergegeven, niet de ruwe code 840539006), land van vaccinatie/test, uitgevende organisatie, dosering / totaal, testtype, testresultaat.

Wij decoderen nooit: patiëntnaam, geboortedatum, vaccinatiedata, uniek certificaat-ID (UVCI). Testbeveiligd.

Identiteitsdocumenten

Rijbewijzen, mobiele ID's en digitale identiteitswallets. De streepjescode op de achterkant van een Amerikaans rijbewijs bevat elk veld op de voorkant. De mobiele-rijbewijs-QR verstuurt een verbindingshanddruk zodat een verificateur via NFC/BLE verbinding kan maken om attributen te lezen.

AAMVA driver license

De PDF417-streepjescode op de achterkant van elk Amerikaans en Canadees rijbewijs. Subbestandselement-formaat conform AAMVA Card Design Standard bijlage D.12.5.

Wij tonen (~17 velden): voor-/tweede/achternaam, ISO-opgemaakte geboortedatum, geslacht, lengte, oogkleur, rijbewijsnummer (gemaskeerd), rijbewijsklasse, beperkingen, aantekeningen, vervaldatum, uitgiftedatum, volledig adres, land, orgaandonorvlag, veteranenvlag, drempel onder-21.

Standaard gevoelig: rijbewijsnummer + geboortedatum worden weergegeven als tikken-om-te-onthullen gemaskeerde velden, zodat een schermafbeelding van het oordeel zelf geen identiteitslek is. De privacywaarschuwing wijst erop dat bars en clubs die ID's scannen ALLE gegevens ontvangen, niet alleen de leeftijd van de houder.

Volledige anatomie → · Generatorreferentie →

Mobile Driver License (ISO 18013-5)

De mdoc:-QR die uw iOS/Android mobiel rijbewijs toont wanneer u hem aan een verificateur overhandigt. CBOR DeviceEngagement met een cipher-suite-kiezer, de tijdelijke publieke sleutel van de houder en de lijst met overdrachtsmethoden die de verificateur kan gebruiken.

Wij tonen: protocolversie, cipher-suite (P-256 ECDH-ES + A256KW is de verplichte vandaag), ondersteunde overdrachtsmethoden (NFC / BLE / Wi-Fi Aware), serverophaalhostname (indien aanwezig).

Wij decoderen nooit: de tijdelijke publieke-sleutelbytes van de houder (alleen de lengte wordt getoond). De werkelijke mDL-attributen stromen via het onderhandelde kanaal nadat de verificateur verbinding maakt, nooit via deze scanner.

Volledig mDL-overzicht →

EU Digital ID Wallet (eIDAS 2.0)

OpenID4VP en eudi-openid4vp-schema's voor grensoverschrijdende identiteitsopgave. Uitrol door lidstaten neemt toe in 2024-2026.

Wij tonen: protocolfamilie (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, response_uri-hostnaam, request_uri-hostnaam voor getekende-verzoekstromen, response_mode.

DID URIs

Gedecentraliseerde identifiers: did:web, did:key, did:ion, did:ebsi en andere methoden.

Wij tonen: DID-methode, methodespecifieke identifier, serviceparameter, relatieve referentie, verificatiefragment.

Authenticatie & passkeys

De QR-inlogstromen die elk account dat u heeft beschermen (of in gevaar brengen). Wij identificeren elk type en waarschuwen nadrukkelijk wanneer een QR u vraagt om iemand anders zijn aanmelding te voltooien in plaats van uw eigen.

FIDO CTAP 2.2 hybrid

De cross-device passkey-QR die uw laptop toont wanneer u inlogt met een passkey op uw telefoon. Base10-gecodeerde CBOR-kaart met de publieke sleutel van de peer, QR-geheim, bewerkingshint, tunnelserverdomeinnaam, tijdstempel en statusondersteuningsvlag.

Wij tonen: bewerking (make-credential / get-assertion / discoverable), tunnelserverdomeinnaam (bijv. cable.ua5v.com), ISO-tijdstempel, ondersteunt statusbehulp, lengte peer-pubkey, lengte QR-geheim.

Harde waarschuwing: het scannen van deze QR voltooit een aanmelding die iemand OP EEN ANDER APPARAAT heeft GESTART. Als u niet zojuist zelf een passkey-aanmelding heeft geïnitieerd, weigert dan: u zou degene die deze QR heeft gegenereerd op uw account aanmelden.

Lees: moet ik deze passkey-inlog-QR scannen? →

HOTP / TOTP (2FA setup)

RFC 4226 / RFC 6238 eenmalig-wachtwoord-setup-QR's. De otpauth://-URI die uw bank of werk-app toont bij het inschrijven van een authenticator.

Wij tonen: uitgever, account, algoritme (SHA1 / SHA256 / SHA512), cijfers (6 / 8), periode (TOTP) of teller (HOTP), uitgever-icon-URL.

Standaard gevoelig: het Base32-geheim wordt weergegeven als tikken-om-te-onthullen. Wij valideren ook de Base32-codering van het geheim en waarschuwen nadrukkelijk wanneer het niet klopt: authenticator-apps aanvaarden foutieve geheimen stilzwijgend en genereren dan codes die nooit kloppen.

TOTP → · HOTP →

Authenticator export (otpauth-migration)

De Google Authenticator bulkexport-QR. Bevat elk 2FA-geheim in de authenticator tegelijk: een protobuf-bundel met N OtpParameters-vermeldingen.

Wij tonen (per vermelding): uitgever, account, type (HOTP / TOTP), algoritme, cijfers, teller, plus versie-/batchmetadata. De openbaarmaking somt op "Toegangen in deze bundel: ACME / alice@acme; GitHub / bob@github; ..." zodat een gebruiker die MIDDEN in een migratie is, kan controleren voordat hij importeert.

Wij decoderen nooit: de werkelijke geheime seed-bytes. Geverifieerd door tests met kanarie-strings die nooit in enige oordeel-uitvoer mogen verschijnen.

Harde waarschuwing: dreigingsklasse is waarschijnlijk_gevaarlijk, tenzij de gebruiker LETTERLIJK midden in een migratie tussen zijn eigen apparaten zit.

Volledige anatomie + veiligheidsgids →

Sign-In with Ethereum (SIWE / EIP-4361)

Het leesbare aanmeldingsbericht dat uw wallet ondertekent om controle over een wallet-adres te bewijzen aan een website.

Wij tonen: sitedomein, wallet-adres, keten-ID, nonce, vervaltijd.

Waarschuwing: lees de site en verklaring zorgvuldig; een kwaadaardige site kan een ondertekend SIWE-bericht gebruiken om u op dat domein te imiteren.

Reizen & tickets

IATA boarding pass (Resolution 792)

De QR / Aztec / PDF417 op uw vliegtuiginstapkaart. Vaste breedte-header (60 tekens) plus 37 tekens verplichte gegevens per segment.

Wij tonen (per segment): maatschappijcode + vluchtnummer (nul-gestript), route (VAN → NAAR), datum (Juliaanse dag → ISO met slim jaar-rollover), stoel, compartimentklasse, volgnummer, status (Ingestapt / Loungetoegang / Beveiligingscontrole omzeilen / etc.). Meersegmentpassen krijgen per-segment rijprefixen.

Standaard gevoelig: PNR / boekingsreferentie wordt weergegeven als tikken-om-te-onthullen; uw naam plus PNR is voldoende om de boeking op de meeste vliegtuigwebsites te openen. Publiceer geen foto's van instapkaarten.

Volledig veld-voor-veld overzicht →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

Wij tonen: SM-DP+-FQDN (de providerserver die met uw telefoon communiceert), activatiecode, vlag verplichte bevestigingscode.

Waarschuwing: een geïnstalleerd eSIM-profiel kan sms onderscheppen, waaronder sms-gebaseerde 2FA-codes. Controleer of de SM-DP+ overeenkomt met uw echte provider (Airalo, Saily, Truphone, Google Fi, etc.) aan de hand van een toegestane lijst voordat u installeert.

Hoe eSIM-activerings-QR's werken →

Smart home & IoT

Matter onboarding

MT:-prefixed base38 packed-binary code van de Connectivity Standards Alliance. Platformonafhankelijke smart-home-koppeling; werkt in Apple Home, Google Home, Amazon Alexa en Samsung SmartThings.

Wij tonen: Vendor ID, Product ID, discriminator, 8-cijferige setupcode (gevoelig-gemaskeerd), inbedrijfstellingsstroom, apparaatdetectie-capabilityvlaggen (Soft-AP / BLE / bestaand IP-netwerk), specversie.

Volledig Matter-overzicht →

Apple HomeKit (X-HM://)

Apple HAP-accessoire-setup-URI. Ouder dan Matter; zit nog steeds in veel accessoires die Matter nog niet ondersteunen.

Wi-Fi Easy Connect (DPP)

Wi-Fi Alliance Device Provisioning Protocol, de moderne vervanger voor WPS. Gebruikt in routers uit 2025 voor QR-gebaseerde apparaatonboarding.

Bluetooth Auracast (BAU v1.0)

Het QR-schema van Bluetooth SIG voor LE Audio-uitzendingen. Service UUID 184F identificeert Auracast; wij tonen de naam van de uitzending (base64-gedecodeerd) en de versleutelingsstatus.

Crypto & Lightning

Bitcoin (BIP-21)

De standaard Bitcoin-betalings-URI. Wij tonen adres, bedrag (met BTC/sat-eenheid), label, bericht, PayJoin-eindpunt (pj=), BIP-72 betalingsverzoek-URL (r=), verplichte (req-*) parameters, Lightning-terugval.

Ethereum (EIP-681)

Ethereum-betalingsverzoek-URI met keuzeschakelaar voor de keten. Wij decoderen ontvanger versus contract, keten-ID met leesbaar label (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), waarde (wei → ETH/Gwei nette weergave), naam functieaanroep, ERC-20-overdrachtargumenten.

Waarschuwing: een contractaanroep is niet hetzelfde als een eenvoudige overdracht; wallet-drainers rekenen erop dat gebruikers het verschil niet opmerken.

WalletConnect (ERC-1328)

De dApp↔wallet-koppeling-URI. Wij tonen versie (v2 is actueel; v1 is verouderd en zwakker), topic, relay-protocol, symmetrische sessiesleutel (gevoelig-gemaskeerd).

Solana Pay

Solana Foundation's overdrachtsverzoek-URI. Wij tonen ontvanger, bedrag, SPL-token-mint, label, referentie, bericht, memo.

Lightning Network (BOLT-12, LNURL)

BOLT-12-aanbiedingen (lno1…) zijn herbruikbare Lightning-betalingsverzoeken. LNURL (lnurl1…) bech32-codeert een HTTPS-eindpunt dat uw wallet aanroept om een factuur, opname, kanaalopening of authenticatie op te halen.

Cashu ecash

Bearer ecash-token. Onderscheidt zich van elk ander crypto-formaat omdat de QR letterlijk HET GELD IS: iedereen die er een foto van neemt, kan het uitgeven.

Standaard gevoelig: tokenstring gemaskeerd; het oordeel waarschuwt nadrukkelijk dat de QR niet-bestede waarde draagt.

Nostr (NIP-19)

Bech32-gecodeerde Nostr-identifiers. Wij herkennen npub (publieke sleutel), nsec (privésleutel, nadrukkelijk gewaarschuwd), note, nevent, nprofile, naddr, nrelay.

nsec gevoelig: een Nostr-privésleutel in een QR betekent dat de identiteit van de houder is vastgelegd. Wij markeren dit als een credential-lek.

Industrieel & regulatoir

GS1 Digital Link

De standaard die 1D-streepjescodes voor consumentenproducten zal vervangen. Toepassings-ID's in het URL-pad coderen GTIN, batch/lot, productie-/vervaldatum, serienummer en meer.

Wij tonen: GTIN (01), batch/lot (10), productiedatum (11), houdbaarheidsdatum (15), vervaldatum (17), serienummer (21) en aanvullende AI's als benoemde velden.

GS1 Digital Link maken →

EU Digital Product Passport

EU-regelgeving vereist dat elk consumentenproduct vanaf 2027 een digitaal paspoort draagt (duurzaamheid, herkomst, reparatie-informatie). Gebouwd op GS1 Digital Link-URL's die doorverwijzen naar per-product-paspoortpagina's.

De QR zelf wordt vandaag gedecodeerd via onze GS1 Digital Link-analyser; de paspoortinhoud voorbij de URL wordt door elke fabrikant gepubliceerd.

Volledig overzicht + wat er in een paspoort staat →

VPN & ontwikkelaarscredentials

WireGuard config

INI-formaat WireGuard-VPN-configuratie. Wij tonen interface-adres, DNS, luisterpoort, peer-eindpunt, toegestane IP's, persistente keepalive, aantal extra peers.

Standaard gevoelig: interface-privésleutel en gedeelde sleutel worden weergegeven als tikken-om-te-onthullen. Waarschuwing wanneer toegestane-IP's 0.0.0.0/0 is (volledige tunnel: elk byte van uw verkeer via iemand anders' server).

SSH public key

OpenSSH authorized_keys-formaat (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Wij tonen algoritme, opmerking en sleutellengte.

X.509 certificate / JWT

PEM-gepantserde X.509-certificaten en ruwe JWT-compacte serialisaties. Wij doorlopen DER om Subject CN/O, Issuer CN, NotBefore/NotAfter en publieke-sleutelbitlengte te extraheren. Verlopen certificaten worden gemarkeerd.

JWT-privacy: wij tonen alg + typ uit de header maar decoderen NOOIT de JWT-payload-claims, die kunnen account-ID's, scopes of andere geheimen bevatten die niet in scanresultaten thuishoren.

PGP key block

OpenPGP PUBLIC / PRIVATE KEY-blok. Wij tonen alleen het formaat; het sleutelmateriaal is gemaskeerd. PRIVATE KEY-blokken krijgen een nadrukkelijke "deel deze QR niet"-waarschuwing.

Symbologieën die wij decoderen (de visuele code zelf)

Een symbologie is de *container*: de vorm van stippen en vierkanten. De bovenstaande standaarden zijn de *payload*: wat er in zit. Onze scanner leest elke open-standaard symbologie en geeft de gedecodeerde tekst door aan de juiste analyser hierboven.

QR Code (ISO/IEC 18004)

Model 1 (origineel 1994), Model 2 (de huidige wereldwijde standaard), Micro QR (kleine componenten) en rechthoekige Micro QR (rMQR, ISO/IEC 23941:2022, smalle labels zoals reageerbuisjes).

Aztec Code (ISO/IEC 24778)

De bullseye-zoekersymbologie die wordt gebruikt op Eurostar, SBB en veel Europese ov-instapkaarten.

Meer over Aztec →

Data Matrix (ISO/IEC 16022)

Dichte kleinformaat-symbologie. Gebruikt door GS1-retail, DSCSA-farmacie, MIL-STD-130-defensie, ATA Spec 2000-luchtvaart en ISBT 128-bloedproductenlabeling.

Meer over Data Matrix →

PDF417 (ISO/IEC 15438)

Gestapelde lineaire symbologie, gebruikt op Amerikaanse/Canadese rijbewijzen (AAMVA), verzendlabels en FedEx-vrachtbrieven.

Meer over PDF417 →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF: de lineaire streepjescodes die u bij elke supermarktkas en op elk verzendetiket ziet.

Waarom dit van belang is

De veiligheid van een QR is niet de veiligheid van zijn URL; het is de veiligheid van de standaard die bepaalt wat er in zit. Een betaling-QR is gevaarlijk omdat iemand de sticker heeft verwisseld; een passkey-QR is gevaarlijk omdat iemand als u wil inloggen; een vaccinatierecord-QR is gevaarlijk vanwege wie de scanner vasthoudt die hem leest. Wij modelleren elk afzonderlijk, op basis van zijn eigen dreigingsmodel, met decodering op veldniveau in plaats van giswerk.

Elke analyser hierboven is open over wat hij toont en wat hij bewust maskeert, zodat u onze beweringen kunt verifiëren door de oordeel-uitvoer te lezen, niet door een zwarte doos te vertrouwen.

Bekijk volledige dekking → Probeer de scanner →