What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Standarder · FIDO CTAP 2.2 hybrid (passordnøkkel-QR)

Bør jeg skanne denne passordnøkkel-innloggings-QR-en?

Bare hvis DU nettopp startet en passordnøkkel-innlogging på enheten som viser QR-koden. Hvis noen andre genererte QR-koden – en fremmed, en «helpdesk»-agent eller en teknisk support-samtale – logger du dem inn på kontoen din ved å skanne den med telefonen din, ikke deg selv. Protokollens åpne standard (FIDO CTAP 2.2 hybrid) er solid; trusselen er sosial manipulasjon rundt hvem som trykket på «Logg inn med passordnøkkel» først.

Sjekk en passordnøkkel-QR → Alle standarder →

Slik fungerer kryssenhet passordnøkkel-innlogging

En passordnøkkel er en legitimasjon – et offentlig/privat nøkkelpar – bundet til én av enhetene dine. Hvis du registrerte en passordnøkkel for example.com på telefonen din, er det bare telefonen din som kan signere innloggingsutfordringen for example.com.

Det fungerer fint når du logger inn PÅ telefonen din. Men hva skjer når du logger inn på en bærbar datamaskin som ikke har en passordnøkkel for det aktuelle nettstedet? Du kan:

Skriv inn passordet ditt – det opphever hele poenget med passordnøkler.
Registrer en ny passordnøkkel på den bærbare – greit, men bare hvis du stoler på denne bærbare datamaskinen på lang sikt.
Bruk telefonens passordnøkkel via kryssenhetstransport – den bærbare viser en QR-kode, telefonen din skanner den, telefonen signerer utfordringen, og nettleseren på den bærbare mottar resultatet og du er logget inn.

Alternativ 3 er det FIDO CTAP 2.2 «hybrid» definerer. QR-koden er bootstrap-mekanismen – den inneholder nok informasjon til at telefonen din kan oppdage den bærbare via Bluetooth Low Energy, etablere en enveissikker tunnel og mellomlegge WebAuthn-seremonien.

Hva er inne i QR-koden

URI-en ser slik ut:

FIDO:/0123456789012345678901234567890123456789...

Desimalsifrene er en base10-koding av et CBOR-kart. Etter base10-dekoding + CBOR-parsing har kartet heltallsnøkler:

Nøkkel 0, peer offentlig nøkkel

Ukomprimerte X9.62 offentlige nøkkelbytes (33 bytes for P-256). Telefonen bruker disse til å etablere den krypterte tunnelen.

Nøkkel 1, QR-hemmelighet / tunnelnonce

10 bytes tilfeldige data. Identifiserer denne spesifikke QR-koden; BLE-kunngjøringen sender ut en hash av dette slik at telefonen kan finne den riktige bærbare.

Nøkkel 2, operasjonsantydning

0 = make-credential (registrering av ny passordnøkkel), 1 = get-assertion (innlogging), 2 = discoverable-credential.

Nøkkel 3, tunnelserver-domene

HTTPS-verten som mellomlegger tunnelen mellom de to enhetene når direkte BLE ikke er tilgjengelig (f.eks. via NAT). Vanligvis en leverandørdrevet server som cable.ua5v.com (Google) eller cable.auth.com (Apple/MS).

Nøkkel 4, tidsstempel

Sekunder siden epoke da QR-koden ble generert. Brukes til replay-beskyttelse – telefonen nekter å honorer en QR-kode som er eldre enn noen minutter.

Nøkkel 5, tilstandsassistert flagg

Boolsk. Angir om den bærbare ønsker at telefonen deltar i passiv tilstandslagring (primært relevant for flyter for opptelling av legitimasjoner).

Trusselmodellen: hvem trykket på «Logg inn med passordnøkkel» først?

Protokollen er kryptografisk sund. Bluetooth-nærhetstsjekket er reelt og begrenser angrepet til den som fysisk befinner seg nær deg. Så hvordan går det galt?

Gjennom sosial manipulasjon av initieringen. Angriperen starter en passordnøkkel-innlogging til DIN konto på DERES bærbare. Den bærbare viser en FIDO QR-kode. De får på en eller annen måte QR-koden foran deg:

«Teknisk support» ringer og ber deg skanne en QR-kode for å «verifisere kontoen din».
Et «delt skjerm»-Zoom-anrop der angriperens skjerm viser QR-koden og ber deg skanne den på telefonen din.
Et personlig sosial manipulasjon-angrep – angriperen setter seg ved siden av deg på en kafé, viser en QR-kode og ber om hjelp til å «logge inn».
En phishing-e-post som ber deg skanne en QR-kode for å «bekrefte identiteten din for den nye innloggingen». (Ekte FIDO QR-koder er kortvarige; en e-post ankommer ofte etter at QR-koden har utløpt, men brukeren vet kanskje ikke det.)

Hvis du skanner, videresender telefonen din passordnøkkel-signaturen din til angriperens bærbare datamaskins nettleser. Nettstedet du har en passordnøkkel for tror du er logget inn. Angriperen er nå logget inn på kontoen din.

Merk at nærhetstsjekket ikke hjelper – angriperen er fysisk til stede. QR-kode-innholdet hjelper ikke – det er kryptografisk gyldig. Innloggingsdestinasjonen hjelper ikke – det er det riktige nettstedet du har en passordnøkkel for. Det eneste som hjelper er å gjenkjenne situasjonen: du bør aldri skanne en FIDO QR-kode som du ikke selv har generert ved å klikke «Logg inn» på din egen enhet.

Hva skanneren vår viser

Når du slipper en FIDO QR-kode inn i skanneren vår, viser resultatet:

Operasjonsantydningen – er dette en innlogging, en passordnøkkel-registrering eller en discoverable-credential-operasjon?
Tunnelserver-domenet – stemmer det med en leverandør du kjenner (Googles cable.ua5v.com, Apples tunnelserver osv.)?
QR-kodens tidsstempel – er den nylig generert, eller foreldet og sannsynligvis avspilt?
Peer-offentlig-nøkkel-lengden og QR-hemmelighets-lengden – fornuftssjekker som bekrefter at QR-koden er strukturelt gyldig.

Trusselklassen er alltid mistenkelig – ikke fordi protokollen er ødelagt, men fordi sikkerhetsvurderingen er kontekstuell og skanneren ikke kan vite hvem som trykket på «Logg inn». Resultatsopplysningen forteller deg nettopp det: «skanning fullfører en innlogging som noen STARTET PÅ EN ANNEN ENHET. Avvis hvis du ikke nettopp selv har initiert en innlogging.»

Når det er trygt (og når det ikke er det)

Trygt: Du satte deg ved den bærbare, åpnet banken eller e-postnettstedet ditt, klikket på «Logg inn med passordnøkkel», og den bærbare viste QR-koden. Du tar telefonen, skanner QR-koden og godkjenner nærhetsprompten. Ferdig.

Ikke trygt: enhver andre enn deg startet innloggingsprosessen. Det inkluderer enhver over telefon, enhver ved en fjernstøtte-samtale, enhver som sendte deg en QR-kode via e-post, enhver som viste deg en «QR for å verifisere identiteten din», og enhver QR-kode et sted som ikke er din egen nettopp viste enhet.

Hvis du ikke er sikker på om en QR-kode stammer fra en innlogging DU startet, kanseller innloggingen på den opprinnelige enheten (lukk nettleserfanen) og start deretter på nytt på enheten du hadde tenkt å bruke. Ekte FIDO QR-koder er bare gyldige i ca. 10 minutter – å starte på nytt tømmer alle pågående sesjoner og gjør trusselen umulig.

Relatert

Inspiser en FIDO QR-kode

Slipp bildet eller lim inn FIDO:-URI-en. Resultatet viser operasjon, tunnelserver, tidsstempel og en tydelig advarsel om å avvise med mindre du selv startet innloggingen.

Åpne skanner →

Bør jeg skanne denne passord­nøkkel-innloggings-QR-en?

Slik fungerer kryssenhet passord­nøkkel-innlogging