What's encoded in a Wi-Fi QR code?

A Wi-Fi QR uses the WIFI: URI scheme (originally a ZXing convention, since standardized by the Wi-Fi Alliance). It encodes the network name (SSID), security type (WPA / WPA2 / WPA3 / WEP / nopass for open), the password, and a hidden-network flag. WPA2-Enterprise networks also carry an EAP method, an identity, an anonymous identity, and a phase-2 method.

Is it safe to scan a Wi-Fi QR at a café or hotel?

Usually, but verify two things: (1) the network name (SSID) matches what the venue advertises, and (2) the security type is WPA2 or WPA3, not WEP (broken) or 'nopass' (open). A fake QR can advertise a network name like 'Starbucks-WiFi-Free' that looks plausible but routes you to an attacker's hotspot.

What's the 'evil twin' attack?

An attacker sets up a Wi-Fi hotspot with a name that matches or closely mimics the legitimate venue's network. They print or sticker a QR code containing that SSID. Customers scan, connect, and route their traffic through the attacker. Common in airports, hotels, and conference centres. Our scanner flags lookalike SSIDs against a list of known high-value targets (Starbucks, McDonald's, airport-free-wifi patterns, hotel chain names).

Are open Wi-Fi QRs (no password) dangerous?

Open networks aren't dangerous to join, your phone uses HTTPS to encrypt traffic anyway, but they ARE highly impersonable. Anyone with a Wi-Fi router and 10 minutes can stand up a fake 'Coffee Shop Free WiFi' next to a real coffee shop. If you must use open Wi-Fi, double-check that the SSID matches what the venue posts, and consider a VPN. Or just use your mobile data, modern plans usually have it.

Standaarden · Wi-Fi-credential-QR

Is deze Wi-Fi-QR-code veilig om te scannen?

Een Wi-Fi-QR verbindt je telefoon met het netwerk waarvan de naam in de code staat, punt. Het gevaar is niet het QR-formaat (het is gestandaardiseerd en op zichzelf onschadelijk), maar de SSID. Een QR met de naam "Starbucks-WiFi-Free""kan je plausibel naar een nep-hotspot op de parkeerplaats routeren. De verdediging is de netwerknaam lezen VOORDAT je op Verbinden tikt.

Controleer een Wi-Fi-QR → Alle standaarden →

Wat is het formaat

De standaard is het WIFI: URI-schema, oorspronkelijk geïntroduceerd door het ZXing-project en overgenomen door de Wi-Fi Alliance. Een volledige payload ziet er als volgt uit:

WIFI:T:WPA2;S:CafeWiFi;P:hunter2;H:false;;

De velden zijn sleutel-waardeparen gescheiden door puntkomma's. Elke moderne smartphone-cameraapp herkent dit formaat en vraagt of je verbinding wilt maken.

Voor WPA2-Enterprise (zakelijk of campusnetwerk) wordt het formaat uitgebreid met drie extra velden: EAP-methode (PEAP / TLS / TTLS), identiteit (je gebruikersnaam), anonieme identiteit (de buitenste EAP-identiteit) en fase-2-authenticatiemethode.

Veld voor veld

T, beveiligingstype

WPA, WPA2, WPA3, WEP of nopass (open). WEP is gebroken; moderne telefoons kunnen weigeren verbinding te maken. nopass betekent dat het netwerk open is zonder versleuteling op de linklaaag.

S, SSID (netwerknaam)

De netwerknaam die je telefoon toont na verbinding. Het belangrijkste veld om te verifiëren. Vergelijk met wat de locatie in druk of op borden adverteert.

P, wachtwoord

De pre-shared key voor WPA-klasse-netwerken. Afwezig voor nopass.

H, verborgen netwerk

true als het netwerk zijn SSID niet uitzendt. Verborgen netwerken moeten worden gezocht; niet inherent veiliger, vaak minder.

E, EAP-methode (Enterprise)

Voor WPA2/3-Enterprise-netwerken: PEAP, TLS, TTLS, PWD. Bepaalt hoe je telefoon zich authenticeert bij de auth-server van het netwerk.

I, Identiteit (Enterprise)

Je gebruikersnaam op het Enterprise-netwerk. Sommige locaties coderen hier een gastidentiteit; zakelijke netwerken verwachten je echte gebruikersnaam.

A, Anonieme identiteit (Enterprise)

De buitenste identiteit die zichtbaar is tijdens de EAP-handshake. Gebruikt voor privacy; de echte identiteit is versleuteld in de tunnel.

PH2, Fase-2-methode (Enterprise)

Voor TTLS / PEAP: de inner-tunnel authenticatiemethode, meestal MSCHAPV2.

De evil-twin-aanval

Het recept:

Een aanvaller zet een Wi-Fi-router op (of een telefoon in hotspot-modus) in de buurt van een doellocatie: een koffiehuis, poort op een luchthaven, hotellobby, congrescentrum.
Ze configureren de SSID om overeen te komen met of het netwerk van de locatie te imiteren: Starbucks_WiFi_2, FREE_AIRPORT_WIFI, HotelGuests_5G.
Ze drukken een QR voor dat nep-netwerk en plakken die ergens geloofwaardigs: onder een tafelrand, naast een stopcontact, op een raam.
Je scant, je telefoon verbindt met hun hotspot. De aanvaller stuurt je verkeer door naar het echte internet zodat alles normaal aanvoelt, maar zij zien elke HTTPS-handshake-SNI-hostnaam (welke sites je bezoekt), elke DNS-query en onversleuteld verkeer.

Moderne apps gebruiken HTTPS zodat inloggegevens en inhoud versleuteld zijn. Maar:

SNI lekt welke sites je bezoekt (bij versleuteld ClientHello niet, maar weinig clients dwingen dat af).
DNS via het netwerk van de aanvaller onthult je zoekopdrachten tenzij je DoH / DoT gebruikt.
Apps die om welke reden dan ook terugvallen op HTTP (verouderde API's, certificaatpinning-bugs, captive-portal-probes) lekken gegevens.
De aanvaller kan nep-captive-portal-pagina's tonen die om inloggegevens vragen die je normaal elders invoert.

Onze scanner markeert SSID's die lijken op doelen met een hoog imitatierisico, bekende merknamen met gedecodeerde confusables, als verdacht zodat je de netwerknaam dubbel controleert voor je verbinding maakt.

Wat onze scanner je toont

Zet een Wi-Fi-QR (afbeelding, plakken of camera) in onze scanner. Het verdict toont:

Netwerk (SSID), lees het aandachtig en vergelijk met wat de locatie adverteert.
Beveiligingstype, WPA2 / WPA3 / WEP / Open. Open- of WEP-netwerken krijgen een melding.
Wachtwoord, tik om te onthullen (gevoelig veld). Handig om toe te voegen aan een wachtwoordmanager.
Verborgen vlag, Ja / Nee.
EAP-methode + identiteit + fase 2, voor Enterprise-netwerken, getoond zodat je kunt bevestigen dat de authenticatiemethode overeenkomt met wat IT je heeft verteld.
Ingesloten URL's in SSID of wachtwoord, sommige aanvallers stoppen phishing-URL's in het wachtwoordveld; wij markeren die.

De scanner werkt in je browser; alleen de gedecodeerde tekst bereikt onze server voor de veiligheidscontrole, niet de afbeelding.

Voordat je op Verbinden tikt

Komt de SSID exact overeen met wat de locatie adverteert? Lookalikes (extra tekens, verwisselde letters, "Starbucks_2") zijn het aanvalssignaal.
Is de beveiliging WPA2 of WPA3? Open en WEP-netwerken zijn niet inherent gevaarlijk, maar WEL te imiteren.
Als het een Enterprise-netwerk is, heeft IT je verteld dat je precies deze EAP-methode en identiteit kunt verwachten?
Gebruik je toch al mobiele data? Zo ja, overweeg dat gewoon te gebruiken. Moderne mobiele abonnementen zijn doorgaans sneller en privater dan locatie-Wi-Fi.
Wordt het wachtwoord van de locatie regelmatig gewijzigd? Veel cafés schrijven het wachtwoord op een krijtbord; een oude QR-sticker op een raam kan een wachtwoord bevatten dat inmiddels is gewijzigd.

Gerelateerd

Controleer een Wi-Fi-QR

Zet de QR-afbeelding neer, plak de WIFI:-string of gebruik de camera. Het verdict toont netwerknaam, beveiligingstype, gemaskerd wachtwoord en markeert lookalikes van bekende SSID's met hoog imitatierisico.

Scanner openen →