What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Standarder · FIDO CTAP 2.2 hybrid (passkey-QR)

Bör jag skanna den här passkey-inloggnings-QR:en?

Bara om DU själv precis startade en passkey-inloggning på enheten som visar QR-koden. Om någon annan genererade QR-koden — en främling, en ”helpdesk”-agent, en teknisk support-samtal — innebär att skanna den med din telefon att de loggas in på ditt konto, inte du. Protokollets öppna standard (FIDO CTAP 2.2 hybrid) är solid; hotet är social manipulation kring vem som tryckte på ”Logga in med passkey”-knappen först.

Kontrollera en passkey-QR → Alla standarder →

Hur tväränhetspasskey-inloggning fungerar

En passkey är en autentiseringsuppgift — ett par med offentlig/privat nyckel — bunden till en av dina enheter. Om du registrerade en passkey för example.com på din telefon kan bara din telefon signera införloggningsutmaningen för example.com.

Det fungerar bra när du loggar in på din telefon. Men vad händer när du loggar in på en bärbar dator som inte har en passkey för den webbplatsen? Du kan:

Ange ditt lösenord — öttergiör hela pokulster med passkeys.
Registrera en ny passkey på den bärbara datorn — bra, men bara om du litar på den bärbara datorn på lång sikt.
Använd telefonens passkey via tväränhetstödjänst — den bärbara datorn visar en QR, din telefon skannar den, telefonen signerar utmaningen, webbläsaren på den bärbara datorn tar emot resultatet och du är inloggad.

Alternativ 3 är vad FIDO CTAP 2.2 ”hybrid” definierar. QR-koden är startpunkten — den innehåller tillräcklig information för att din telefon ska kunna hitta den bärbara datorn via Bluetooth Low Energy, uppfyra en engsgställig säker tunnel och proxy:a WebAuthn-proceduren.

Vad QR-koden innehåller

URI:en ser ut så här:

FIDO:/0123456789012345678901234567890123456789...

Decimalsiffrorna är en base10-kodning av en CBOR-karta. Efter base10-avkodning + CBOR-tolkning har kartan heltalsnycklickar:

Nyckel 0, peer-publik nyckel

Okomprimerade X9.62 publik-nyckelsbytes (33 bytes för P-256). Telefonen använder detta för att uppfyra den krypterade tunneln.

Nyckel 1, QR-hemlighet / tunnelnonce

10 bytes slumpmässig data. Identifierar just den här QR-koden; BLE-reklamen sänder en hash av den så att telefonen kan hitta rätt bärbar dator.

Nyckel 2, operationstips

0 = make-credential (registrera en ny passkey), 1 = get-assertion (logga in), 2 = discoverable-credential.

Nyckel 3, tunnelserver-domän

HTTPS-värden som proxy:ar tunneln mellan de två enheterna när direkt BLE inte är tillgänglig (t.ex. över NAT). Vanligtvis en leverantörsdriven server som cable.ua5v.com (Google) eller cable.auth.com (Apple/MS).

Nyckel 4, tidsstamp

Sekunder sedan epoch när QR-koden genererades. Används för repelsskyddd — telefonen vägrar att hedra en QR som är äldre än några minuter.

Nyckel 5, state-assisted-flagga

Boolesk. Anger om den bärbara datorn vill att telefonen ska delta i passiv tillståndshantering (mest relevant för flöden där autentiseringsuppgifter räknas upp).

Hotmodellen: vem tryckte på ”Logga in med passkey” först?

Protokollet är kryptografiskt sound. Bluetooth-närhetskontrollen är verklig och begränsar attacken till den som är fysiskt nära dig. Så hur går det fel?

Genom social manipulation på initieringsnivån. Angriparen startar en passkey-inloggning till DITT konto på DERAS bärbara dator. Deras bärbara dator visar en FIDO-QR. De får på något sätt QR-koden framför dina ögon:

”Teknisk support” ringer dig och ber dig skanna en QR-kod för att ”verifiera ditt konto.”
Ett ”delad skärm”-Zoom-samtal där angriparens skärm visar QR-koden och ber dig skanna den med din telefon.
En personlig manipulationsattack — angriparen sitter bredvid dig på ett café, visar en QR-kod och ber om hjälp med att ”logga in.”
Ett phishing-e-brev som ber dig skanna en QR-kod för att ”bekräfta din identitet för den nya inloggningen.” (Riktiga FIDO-QR-koder är kortlivade; ett e-brev anländer långt efter att QR-koden upphört att gälla, men användaren kanske inte vet det.)

Om du skannar proxy:ar telefonen din passkey-signatur tillbaka till angriparens bärbara dators webbläsare. Sajten du har en passkey för tror att du loggade in. Angriparen är nu inloggad på ditt konto.

Närhetskontrollen hjälper inte — angriparen är fysiskt närvarande. QR-innehållet hjälper inte — det är kryptografiskt giltigt. Inloggningstjänsten hjälper inte — det är den korrekta sajt du har en passkey för. Det enda som hjälper är att förstå situationen: du bör aldrig skanna en FIDO-QR som du inte själv genererade genom att klicka på ”Logga in” på din egen enhet.

Vad vår skanner visar

När du lägger in en FIDO-QR i vår skanner visar utslåget:

Operationstipset — är detta en inloggning, en passkey-registrering eller en discoverabel autentiseringsoperation?
Tunnelserver-domänen — matchar den en leverantör du känner igen (Googles cable.ua5v.com, Apples tunnelserver, osv.)?
QR-kodens tidsstamp — är den nygenererad eller föråldrad och troligen återspelad?
Längden på peer-publik nyckel och QR-hemlighet — sanitetskontroller att QR-koden är strukturellt giltig.

Hotklassen är alltid missksamväckande, inte för att protokollet är brutet utan för att säkerhetsbedömningen är kontextuell och skannern inte kan veta vem som tryckte på ”Logga in.” Utslågets upptäckt berättar exakt det: ”att skanna fullfyller en inloggning som någon STARTADE PÅ EN ANNAN ENHET. Om du inte precis initierade en inloggning själv, vägra.”

När det är säkert (och när det inte är det)

Säkert: du satte dig vid din bärbara dator, öppnade din bank- eller e-postsajt, klickade på ”Logga in med passkey” och din bärbara dator visade QR-koden. Du tar upp telefonen, skannar QR-koden och godkänner närhetsuppmaning. Klart.

Inte säkert: någon annan än du initierade inloggningen. Det innebär vem som helst per telefon, vem som helst i ett fjärrsupportsamtal, vem som helst som mailade en QR-kod, vem som helst som visade en ”QR för att verifiera din identitet”, och alla QR-koder på en plats som inte är din egen nyss visade enhet.

Om du inte är säker på om en QR-kod är från en inloggning du startade själv, avbryt inloggningen på den ursprungliga enheten (stäng webbläsarfliken) och börja om från början på den enhet du tänkte använda. Riktiga FIDO-QR-koder gäller i bara ca 10 minuter; att börja om tömmer eventuella pågående sessioner och gör hotet omöjligt.

Relaterat

Inspektera en FIDO-QR

Släpp in bilden eller klistra in FIDO:-URI:en. Utslåget visar operation, tunnelserver, tidsstamp och en tydlig varning om att vägra såvida du inte själv startade inloggningen.

Öppna skannern →