What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Стандарты · FIDO CTAP 2.2 hybrid (passkey QR)

Безопасно ли сканировать этот QR-код входа с ключом доступа?

Только если ВЫ только что инициировали вход с ключом доступа на устройстве, отображающем QR-код. Если кто-то другой показывает вам этот QR или просит его отсканировать — не делайте этого.

Проверить QR-код для ключа доступа → Все стандарты →

Как работает вход с ключом доступа между устройствами

Пароль-ключ (passkey) — это учётные данные, пара открытого и закрытого ключей, привязанная к одному из ваших устройств. Если вы зарегистрировали пароль-ключ для example.com на телефоне, только телефон сможет подписать запрос на вход для example.com.

Это работает нормально, когда вы входите непосредственно с телефона. Но что происходит, когда вам нужно войти с ноутбука, а ключ доступа находится на телефоне? У вас три варианта.

Ввести пароль — обесценивает смысл ключей доступа.
Зарегистрировать новый ключ доступа на ноутбуке — нормально, но только если вы доверяете этому устройству.
Использовать ключ доступа телефона через транспорт между устройствами — ноутбук показывает QR-код, вы сканируете его телефоном.

Вариант 3 определён стандартом FIDO CTAP 2.2 «hybrid». QR-код — это начальная точка: он передаёт данные для установки зашифрованного туннеля между ноутбуком и телефоном через Bluetooth и HTTPS-прокси.

Что внутри QR-кода

URI выглядит так:

FIDO:/0123456789012345678901234567890123456789...

Десятичные цифры — это base10-кодирование CBOR-карты. После декодирования base10 + CBOR вы получаете структуру с ключами 0–5.

Ключ 0 — открытый ключ партнёра

Несжатые байты открытого ключа по стандарту X9.62 (33 байта для P-256). Телефон использует их для установки зашифрованного туннеля.

Ключ 1 — секрет QR / nonce туннеля

10 байт случайных данных. Идентифицирует конкретный QR-код; BLE-реклама транслирует хэш этих байт для обнаружения устройства.

Ключ 2 — подсказка операции

0 = make-credential (регистрация нового пароля-ключа), 1 = get-assertion (вход в систему), 2 = discoverable-credential.

Ключ 3 — домен туннельного сервера

HTTPS-хост, который проксирует туннель между двумя устройствами, когда прямое соединение по BLE недоступно (например, через NAT). Как правило, это сервер, управляемый производителем, например cable.ua5v.com (Google) или cable.auth.com (Apple/MS).

Ключ 4 — временна́я метка

Секунды с начала эпохи Unix в момент генерации QR-кода. Используется для защиты от повторных атак; просроченный QR-код отклоняется телефоном.

Ключ 5 — флаг state-assisted

Булево значение. Указывает, хочет ли ноутбук, чтобы телефон участвовал в пассивной доступности через Bluetooth-рекламу (state-assisted mode).

Модель угроз: кто нажал «Войти с ключом доступа» первым?

Протокол криптографически надёжен. Bluetooth-проверка близости реальна и является частью спецификации. Ни одно из этих свойств не защищает от атак на основе социальной инженерии.

Через социальную инженерию на этапе инициации. Злоумышленник начинает вход с ключом доступа на вашем аккаунте, QR-код появляется на его экране, и он убеждает вас его отсканировать.

«Техподдержка» звонит и просит отсканировать QR для «верификации аккаунта».
Демонстрация экрана на Zoom, где экран злоумышленника показывает QR и он просит вас его отсканировать.
Физическая атака социальной инженерии — злоумышленник садится рядом с вами в кофейне и показывает экран с QR.
Фишинговое письмо с просьбой отсканировать QR для «подтверждения личности при новом входе».

Если вы сканируете, ваш телефон проксирует подпись вашим ключом доступа обратно на устройство злоумышленника, который завершает вход в ваш аккаунт.

Обратите внимание: проверка близости не помогает — злоумышленник находится рядом физически. Содержимое QR-кода не помогает — оно криптографически корректно. Адрес назначения для входа не помогает — это именно тот сайт, для которого у вас есть пароль-ключ. Помогает лишь одно — осознание ситуации: вы никогда не должны сканировать FIDO QR-код, который не сгенерировали сами, нажав «Войти» на своём устройстве.

Что показывает наш сканер

Когда вы загружаете FIDO QR-код в наш сканер, результат проверки показывает:

Подсказка операции — это вход, регистрация ключа доступа или discoverable-credential flow?
Домен туннельного сервера — соответствует ли он известному вам производителю (cable.ua5v.com от Google, туннельный сервер Apple и т. д.)?
Временна́я метка QR-кода — он только что сгенерирован или устарел и, вероятно, воспроизводится повторно?
Длина открытого ключа партнёра и длина секрета QR — проверки корректности, подтверждающие соответствие QR-кода стандарту.

Класс угрозы всегда подозрительный — не потому что протокол сломан, а потому что сам факт получения QR-кода от третьего лица (а не созданного только что вашим собственным устройством) является красным флагом.

Когда это безопасно (а когда нет)

Безопасно: вы сели за ноутбук, открыли свой банк или почту, нажали «Войти», ноутбук показал QR-код — и вы тут же сканируете его своим телефоном.

Небезопасно: вход инициировал кто угодно, кроме вас. Это включает техподдержку, сотрудников службы безопасности, незнакомых людей, публичные QR-коды на экранах и QR-коды в письмах.

Если вы не уверены, был ли QR-код создан для входа, который инициировали именно вы, — отмените вход на ноутбуке и начните заново самостоятельно.

По теме

Проверить FIDO QR-код

Загрузите изображение или вставьте FIDO: URI. Результат проверки покажет операцию, туннельный сервер, временну́ю метку и флаги состояния.

Открыть сканер →