What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Padrões · FIDO CTAP 2.2 híbrido (QR de passkey)

Devo escanear este QR de login com passkey?

Somente se VOCÊ acabou de iniciar um login com passkey no dispositivo que exibe o QR. Se qualquer outra pessoa gerou o QR — um estranho, um agente de "suporte técnico", uma chamada de assistência remota — escanear com o seu celular autentica a sessão deles, não a sua. O padrão aberto do protocolo (FIDO CTAP 2.2 híbrido) é sólido; a ameaça é a engenharia social em torno de quem pressionou o botão "Entrar com uma passkey" primeiro.

Verificar um QR de passkey → Todos os padrões →

Como funciona o login com passkey entre dispositivos

Uma passkey é uma credencial — um par de chaves pública/privada — vinculada a um dos seus dispositivos. Se você cadastrou uma passkey para exemplo.com no seu celular, somente seu celular pode assinar o desafio de login para exemplo.com.

Isso funciona bem quando você está autenticando NO celular. Mas e quando você está no notebook que não tem uma passkey para aquele site? Você pode:

Digitar sua senha — invalida o propósito das passkeys.
Cadastrar uma nova passkey no notebook — válido, mas somente se você confiar nesse notebook a longo prazo.
Usar a passkey do celular via transporte entre dispositivos — o notebook exibe um QR, seu celular o escaneia, o celular assina o desafio, o navegador do notebook recebe o resultado e você está autenticado.

A opção 3 é o que o FIDO CTAP 2.2 "híbrido" define. O QR é a inicialização — carrega informações suficientes para que o celular encontre o notebook via Bluetooth Low Energy, estabeleça um túnel seguro de uso único e faça a proxy da cerimônia WebAuthn.

O que há dentro do QR

O URI tem o seguinte aspecto:

FIDO:/0123456789012345678901234567890123456789...

Os dígitos decimais são uma codificação base10 de um mapa CBOR. Após decodificação base10 + análise CBOR, o mapa tem chaves inteiras:

Chave 0, chave pública do par

Bytes de chave pública X9.62 não comprimida (33 bytes para P-256). O celular usa isso para estabelecer o túnel criptografado.

Chave 1, segredo do QR / nonce do túnel

10 bytes de dados aleatórios. Identifica este QR específico; o anúncio BLE transmite um hash dele para que o celular encontre o notebook correto.

Chave 2, dica de operação

0 = make-credential (cadastrando nova passkey), 1 = get-assertion (login), 2 = discoverable-credential.

Chave 3, domínio do servidor de túnel

O host HTTPS que faz proxy do túnel entre os dois dispositivos quando o BLE direto não está disponível (ex.: por trás de NAT). Geralmente um servidor operado por um fornecedor como cable.ua5v.com (Google) ou cable.auth.com (Apple/MS).

Chave 4, timestamp

Segundos desde a época Unix em que o QR foi gerado. Usado para proteção contra replay — o celular recusa QRs com mais de alguns minutos.

Chave 5, flag de assistência de estado

Booleano. Indica se o notebook quer que o celular participe de manutenção passiva de estado (relevante principalmente para fluxos de enumeração de credenciais).

O modelo de ameaça: quem pressionou "Entrar com uma passkey" primeiro?

O protocolo é criptograficamente sólido. A verificação de proximidade via Bluetooth é real e limita o ataque a quem está fisicamente próximo. Então como isso dá errado?

Por engenharia social na iniciação. O atacante inicia um login com passkey na SUA conta no NOTEBOOK DELE. O notebook dele exibe um QR FIDO. Ele coloca esse QR na sua frente de alguma forma:

"Suporte técnico" liga e pede para você escanear um QR para "verificar sua conta".
Uma chamada no Zoom com "compartilhamento de tela" em que a tela do atacante exibe o QR e pede para você escaneá-lo no celular.
Um ataque de engenharia social presencial — o atacante senta ao seu lado em um café, mostra um QR e pede ajuda para "fazer login".
Um e-mail de phishing pedindo para escanear um QR para "confirmar sua identidade para o novo login". (QRs FIDO reais têm vida curta; um e-mail chega bem depois que o QR expirou, mas o usuário pode não saber disso.)

Se você escanear, seu celular envia a assinatura da sua passkey de volta para o navegador do notebook do atacante. O site para o qual você tem uma passkey pensa que você entrou. O atacante está agora logado na sua conta.

A verificação de proximidade não ajuda — o atacante está fisicamente presente. O conteúdo do QR não ajuda — é criptograficamente válido. O destino do login não ajuda — é o site correto para o qual você tem uma passkey. A única coisa que ajuda é reconhecer a situação: você nunca deve escanear um QR FIDO que não gerou você mesmo clicando em "Entrar" no seu próprio dispositivo.

O que nosso scanner exibe

Quando você envia um QR FIDO para o nosso scanner, o resultado mostra:

A dica de operação — é um login, um cadastro de passkey ou uma operação de credencial descobrível?
O domínio do servidor de túnel — ele corresponde a um fornecedor que você reconhece (cable.ua5v.com do Google, servidor de túnel da Apple, etc.)?
O timestamp do QR — foi gerado agora mesmo, ou está velho e provavelmente sendo repetido?
O comprimento da chave pública do par e o comprimento do segredo do QR — verificações de sanidade para confirmar que o QR é estruturalmente válido.

A classe de ameaça é sempre suspeito — não porque o protocolo seja falho, mas porque a avaliação de segurança é contextual e o scanner não pode saber quem pressionou "Entrar". O aviso do resultado diz exatamente isso: "escanear completa um login que ALGUÉM INICIOU EM OUTRO DISPOSITIVO. Se você mesmo não acabou de iniciar um login, recuse."

Quando é seguro (e quando não é)

Seguro: você se sentou no notebook, abriu o site do banco ou e-mail, clicou em "Entrar com uma passkey" e o notebook exibiu o QR. Você pega o celular, escaneia o QR e aprova o prompt de proximidade. Pronto.

Não seguro: qualquer pessoa que não seja você iniciou o login. Isso inclui qualquer pessoa ao telefone, em uma chamada de suporte remoto, que enviou um QR por e-mail, que mostrou um "QR para verificar sua identidade" e qualquer QR em lugar que não seja o seu próprio dispositivo recém-exibido.

Se não tiver certeza se um QR veio de um login QUE VOCÊ iniciou, cancele o login no dispositivo original (feche a aba do navegador) e recomece do zero no dispositivo que pretendia usar. QRs FIDO reais são válidos por apenas ~10 minutos — reiniciar descarta qualquer sessão em andamento e torna a ameaça impossível.

Relacionados

Inspecionar um QR FIDO

Envie a imagem ou cole o URI FIDO:. O resultado mostra a operação, o servidor de túnel, o timestamp e um aviso claro para recusar caso você não tenha iniciado o login.

Abrir scanner →