What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Standartlar · FIDO CTAP 2.2 hibrit (passkey QR)

Bu passkey giriş QR'ını taramalı mıyım?

Yalnızca QR'ı gösteren cihazda passkey girişini SİZ başlattıysanız. Başka biri bu QR'ı oluşturduysa; bir yabancı, bir “yardım masası” temsilcisi veya bir teknik destek araması, onu telefonunuzla taramanız onları sizin hesabınıza değil, sizi onların hesabına giriş yaptırır. Protokolün açık standardı (FIDO CTAP 2.2 hibrit) sağlamdır; tehdit, “Passkey ile oturum aç” düğmesine kimin önce bastığı etrafında dönen sosyal mühendisliktir.

Bir passkey QR'ı kontrol et → Tüm standartlar →

Çapraz cihaz passkey girişi nasıl çalışır

Passkey, cihazlarınızdan birine bağlı bir kimlik bilgisi, genel/özel anahtar çiftidir. Telefonunuzda example.com için passkey kaydettiyseniz, yalnızca telefonunuz example.com için giriş zorluğunu imzalayabilir.

Bu, telefonunuzda giriş yaptığınızda sorunsuz çalışır. Peki o site için passkey olmayan bir dizüstünde giriş yaptığınızda ne olur? Şunları yapabilirsiniz:

Şifrenizi girin, passkey'lerin tüm amacını ortadan kaldırır.
Dizüstünüzde yeni bir passkey kaydedin, bu dizüstüne uzun vadede güveniyorsanız sorun değil.
Çapraz cihaz aktarımı yoluyla telefon passkey'ini kullanın: dizüstü bir QR gösterir, telefonunuz bunu tarar, telefon zorluk imzasını atar, dizüstünün tarayıcısı sonucu alır ve giriş yapılmış olursunuz.

3. seçenek, FIDO CTAP 2.2 “hibriti”in tanımladığı şeydir. QR önyükleme mekanizmasıdır; telefonunuzun dizüstünü Bluetooth Düşük Enerji üzerinden keşfetmesi, tek seferlik güvenli bir tünel kurması ve WebAuthn törenine aracılık etmesi için yeterli bilgiyi taşır.

QR'ın içinde ne var

URI şöyle görünür:

FIDO:/0123456789012345678901234567890123456789...

Ondalık rakamlar, bir CBOR haritasının base10 kodlamasıdır. Base10 çözme + CBOR ayrıştırma sonrasında harita tamsayı anahtarlara sahiptir:

Anahtar 0, eş genel anahtarı

Sıkıştırılmamış X9.62 genel anahtar baytları (P-256 için 33 bayt). Telefon bunu şifreli tüneli kurmak için kullanır.

Anahtar 1, QR sırrı / tünel nonce'u

10 bayt rastgele veri. Bu belirli QR'ı tanımlar; BLE reklamı telefonun doğru dizüstünü bulabilmesi için bunun bir karmasını yayınlar.

Anahtar 2, işlem ipucu

0 = kimlik bilgisi oluştur (yeni passkey kaydı), 1 = iddia al (giriş yapma), 2 = keşfedilebilir kimlik bilgisi.

Anahtar 3, tünel sunucusu etki alanı

Doğrudan BLE erişilemediğinde (örn. NAT arkasında) iki cihaz arasındaki tünele aracılık eden HTTPS ana makinesi. Genellikle cable.ua5v.com (Google) veya cable.auth.com (Apple/MS) gibi satıcı işletimli bir sunucudur.

Anahtar 4, zaman damgası

QR oluşturulduğunda epoch'tan bu yana geçen saniyeler. Yeniden oynatma koruması için kullanılır; telefon birkaç dakikadan eski QR'ları kabul etmeyi reddeder.

Anahtar 5, duruma yardımlı bayrak

Boolean. Dizüstünün telefonun pasif durum takibine katılmasını isteyip istemediğini gösterir (çoğunlukla kimlik bilgisi listeleme akışları için geçerlidir).

Tehdit modeli: “Passkey ile oturum aç”a kim önce bastı?

Protokol şifrografik olarak sağlamdır. Bluetooth yakınlık kontrolü gerçektir ve saldırıyı fiziksel olarak yakınınızda olan kişiyle sınırlar. Peki bu nasıl ters gider?

Başlatma üzerindeki sosyal mühendislikle. Saldırgan, KENDİ dizüstünde SİZİN hesabınıza passkey girişi başlatır. Dizüstü bir FIDO QR gösterir. Bu QR'ı bir şekilde karşınıza çıkarırlar:

“Teknik destek” sizi arayarak “hesabınızı doğrulamak” için bir QR taramanızı ister.
Saldırganın ekranının QR'ı gösterdiği ve onu telefonunuzla taramanızı istediği “ekran paylaşımı” Zoom görüşmesi.
Yüz yüze sosyal mühendislik saldırısı: saldırgan bir kafede yanınıza oturur, bir QR gösterir ve “giriş yapma” konusunda yardım ister.
“Yeni giriş için kimliğinizi onaylamak” için bir QR taramanızı isteyen kimlik avı e-postası. (Gerçek FIDO QR'ları kısa ömürlüdür; bir e-posta QR'ın süresi dolduktan çok sonra ulaşır, ancak kullanıcı bunu bilmiyor olabilir.)

Tararsanız, telefonunuz passkey imzanızı saldırganın dizüstünün tarayıcısına iletir. Passkey sahibi olduğunuz site sizin giriş yaptığınızı sanır. Saldırgan artık hesabınıza erişmiştir.

Yakınlık kontrolünün yardımı olmadığına dikkat edin; saldırgan fiziksel olarak orada. QR içerikleri de yardımcı olmaz; şifrografik olarak geçerlidirler. Giriş hedefi de yardımcı olmaz; passkey'iniz olan doğru site. Yardımcı olan tek şey durumu tanımaktır: kendi cihazınızda “Oturum aç”a tıklayarak kendiniz oluşturmadığınız bir FIDO QR'ı asla taramamalısınız.

Tarayıcımızın ortaya koyduğu bilgiler

Tarayıcımıza bir FIDO QR bıraktığınızda karar şunları gösterir:

İşlem ipucu: bu bir giriş mi, passkey kaydı mı yoksa keşfedilebilir kimlik bilgisi işlemi mi?
Tünel sunucusu etki alanı: tanıdığınız bir satıcıyla eşleşiyor mu (Google'ın cable.ua5v.com'u, Apple'ın tünel sunucusu vb.)?
QR'ın zaman damgası: bu yeni oluşturulmuş mu, yoksa eski ve muhtemelen yeniden oynatılmış mı?
Eş genel anahtar uzunluğu ve QR sırrı uzunluğu: QR'ın yapısal olarak geçerli olduğunu doğrulayan akıl sağlığı kontrolleri.

Tehdit sınıfı her zaman şüphelitir; bunun nedeni protokolün bozuk olması değil, güvenlik kararının bağlamsal olması ve tarayıcının “Oturum aç”a kimin bastığını bilememesidir. Kararın açıklaması tam olarak şunu söyler: “taramak, BAŞKA BİR CİHAZDA birisinin başlattığı bir girişi tamamlar. Girişi kendiniz az önce başlatmadıysanız reddedin.”

Ne zaman güvenli (ve ne zaman değil)

Güvenli: dizüstünüzün başına oturarak bankanızın veya e-posta sitenizi açtınız, “Passkey ile oturum aç”a tıkladınız ve dizüstünüz QR'ı gösterdi. Telefonunuzu alıp QR'ı taradınız ve yakınlık isteğini onayladınız. Tamam.

Güvensiz: girişi sizden başka biri başlattıysa. Bu; telefon üzerinden konuştuğunuz kişi, uzaktan destek görüşmesindeki biri, size QR e-postası gönderen biri, “kimliğinizi doğrulamanız için bir QR” gösteren herhangi biri ve kendi az önce görüntülenen cihazınız olmayan herhangi bir yerdeki QR dahildir.

Bir QR'ın kendiniz başlattığınız bir girişten gelip gelmediğinden emin değilseniz, orijinal cihazda girişi iptal edin (tarayıcı sekmesini kapatın), sonra kullanmak istediğiniz cihazdan sıfırdan başlayın. Gerçek FIDO QR'ları yalnızca ~10 dakika geçerlidir; yeniden başlatmak devam eden oturumu temizler ve tehdidi imkânsız kılar.

İlgili

Bir FIDO QR'ı inceleyin

Görüntüyü bırakın veya FIDO: URI'sini yapıştırın. Karar; işlemi, tünel sunucusunu, zaman damgasını ve girişi kendiniz başlatmadığınız sürece reddetmenizi bildiren sert bir uyarıyı gösterir.

Tarayıcıyı aç →