What is the FIDO:/ QR code my laptop is showing?

It's a cross-device passkey sign-in QR defined by FIDO CTAP 2.2 'hybrid' transport. Your laptop shows it during a passkey login flow when you don't have a passkey stored on the laptop itself, your phone holds the passkey and your phone scans the QR to complete the login.

What happens when I scan a FIDO QR with my phone?

Your phone reads the QR, opens a Bluetooth proximity check with whichever device generated the QR (to make sure the two devices are physically near each other), then runs the passkey signing operation. The result tells the laptop's browser that the passkey holder confirmed the login.

Can someone trick me into scanning their QR?

Yes, this is the central threat. An attacker tries to log into YOUR account on their own laptop. Their laptop shows a FIDO QR. They share that QR with you (a screenshot, a fake helpdesk page, a tech-support scam). If you scan it on your phone expecting to log into your own account, the result signs the attacker into your account on their laptop.

What's the Bluetooth proximity check protecting?

The proximity check requires your phone and the QR-displaying device to be within roughly 10 meters of each other (the BLE advertisement range). This prevents an attacker on a remote network from completing the sign-in, they would need to be physically near you. But proximity alone doesn't prevent the trick where the attacker is sitting next to you with their own laptop.

How is this different from WhatsApp Web's login QR?

Identical threat shape, different protocol. WhatsApp Web, Telegram Web, Signal Desktop, Steam Guard, Microsoft 365 sign-in, GitHub device flow, and several other services use service-specific URL-based QRs that route through their own servers. FIDO CTAP hybrid is the open-standard generalization, it works for ANY service that adopts passkeys, with the wallet on your phone holding the credential.

Tiêu chuẩn · FIDO CTAP 2.2 hybrid (passkey QR)

Tôi có nên quét QR đăng nhập passkey này không?

Chỉ khi BẠN vừa bắt đầu đăng nhập passkey trên thiết bị đang hiển thị QR. Nếu ai khác tạo QR này, đừng quét.

Kiểm tra QR passkey → Tất cả các tiêu chuẩn →

Cách đăng nhập passkey đa thiết bị hoạt động

Passkey là một thông tin xác thực — một cặp khóa công khai/riêng tư — được gắn với một trong các thiết bị của bạn. Nếu bạn đã đăng ký passkey cho example.com trên điện thoại, thì chỉ điện thoại của bạn mới có thể ký thách thức đăng nhập cho example.com.

Điều đó ổn khi bạn đăng nhập TRÊN điện thoại. Nhưng điều gì xảy ra khi đăng nhập trên laptop tại thư viện trong khi passkey ở trên điện thoại? Bạn có ba lựa chọn:

Nhập mật khẩu, mất đi toàn bộ lợi ích của passkey.
Đăng ký passkey mới trên laptop, ổn, nhưng chỉ khi bạn tin tưởng laptop này lâu dài.
Dùng passkey trên điện thoại qua truyền tải đa thiết bị, laptop hiển thị QR, điện thoại quét và xác thực.

Lựa chọn 3 là những gì FIDO CTAP 2.2 "hybrid" định nghĩa. QR là cầu nối khởi động — nó mang đủ thông tin để hai thiết bị thiết lập kênh mã hóa được xác thực qua Bluetooth và/hoặc máy chủ relay, sau đó điện thoại ký xác nhận đăng nhập.

Bên trong QR có gì

URI trông như sau:

FIDO:/0123456789012345678901234567890123456789...

Các chữ số thập phân là mã hóa base10 của bản đồ CBOR. Sau khi giải mã base10 + phân tích CBOR, bản đồ có các trường sau:

Khóa 0, khóa công khai ngang hàng

Byte khóa công khai X9.62 không nén (33 byte cho P-256). Điện thoại dùng cái này để thiết lập kênh mã hóa đã thỏa thuận.

Khóa 1, bí mật QR / tunnel nonce

10 byte dữ liệu ngẫu nhiên. Xác định QR cụ thể này; quảng cáo BLE phát một hash của nó để điện thoại có thể tìm thấy laptop.

Khóa 2, gợi ý hoạt động

0 = make-credential (đăng ký passkey mới), 1 = get-assertion (đăng nhập), 2 = discoverable-credential.

Khóa 3, tên miền máy chủ tunnel

Máy chủ HTTPS làm trung gian đường hầm giữa hai thiết bị khi kết nối BLE trực tiếp không khả dụng (ví dụ: qua NAT). Thường là máy chủ do nhà cung cấp vận hành như cable.ua5v.com (Google) hoặc cable.auth.com (Apple/MS).

Khóa 4, dấu thời gian

Giây kể từ epoch khi QR được tạo. Dùng để bảo vệ chống phát lại — điện thoại tuân thủ từ chối QR cũ hơn ngưỡng (thường 5 phút).

Khóa 5, cờ hỗ trợ trạng thái

Boolean. Cho biết liệu laptop có muốn điện thoại tham gia duy trì trạng thái thụ động hay không (chủ yếu để đồng bộ BLE).

Mô hình mối đe dọa: ai đã nhấn "Đăng nhập bằng passkey" trước?

Giao thức về mặt mật mã học là đáng tin cậy. Kiểm tra Bluetooth gần đây là có thực — nó ngăn chặn các cuộc tấn công relay từ xa. Nhưng nó không bảo vệ bạn trước kỹ thuật xã hội về phía khởi tạo.

Thông qua kỹ thuật xã hội ở giai đoạn khởi tạo. Kẻ tấn công bắt đầu đăng nhập passkey trên trang ngân hàng thật của bạn, lấy QR, rồi thuyết phục bạn quét nó.

"Hỗ trợ kỹ thuật" gọi và yêu cầu quét QR để "xác minh tài khoản".
Cuộc gọi Zoom "chia sẻ màn hình" trong đó màn hình kẻ tấn công hiển thị QR và thuyết phục bạn quét để "xác thực".
Tấn công kỹ thuật xã hội trực tiếp — kẻ tấn công ngồi cạnh bạn ở quán cà phê và hiển thị QR trên điện thoại.
Email lừa đảo yêu cầu quét QR để "xác nhận danh tính cho chính sách bảo mật mới".

Nếu bạn quét, điện thoại của bạn chuyển tiếp chữ ký passkey về phiên của kẻ tấn công. Kẻ tấn công giờ đã đăng nhập thành công vào tài khoản của bạn.

Lưu ý rằng việc kiểm tra khoảng cách gần không có ích — kẻ tấn công đang hiện diện vật lý. Nội dung mã QR cũng không giúp được — chúng hợp lệ về mặt mật mã. Địa điểm đăng nhập cũng không giúp được — đó là trang web đúng mà bạn có passkey. Điều duy nhất có tác dụng là nhận ra tình huống: bạn không bao giờ nên quét mã QR FIDO mà chính bạn không tự tạo ra bằng cách nhấp “Đăng nhập” trên thiết bị của mình.

Những gì máy quét hiển thị

Khi bạn thả QR FIDO vào máy quét, kết quả hiển thị:

Gợi ý hoạt động — đây là đăng nhập, đăng ký passkey hay khám phá?
Tên miền máy chủ đường hầm — nó có khớp với nhà cung cấp bạn nhận ra không (ví dụ: cable.ua5v.com của Google, máy chủ đường hầm của Apple)?
Dấu thời gian QR — vừa được tạo hay đã cũ và có khả năng bị phát lại?
Độ dài khóa công khai ngang hàng và độ dài bí mật QR — kiểm tra sơ bộ xem QR có đúng định dạng không.

Loại mối đe dọa luôn là đáng ngờ, không phải vì giao thức có lỗi mà vì không thể biết ai đã khởi tạo phiên đăng nhập. Đây là cách thiết kế đúng cho bối cảnh kiểm tra bảo mật.

Khi nào an toàn (và khi nào không)

An toàn: bạn ngồi vào laptop, mở trang ngân hàng hoặc email, nhấp "Đăng nhập bằng passkey" và laptop hiển thị QR này. Bạn quét bằng điện thoại để hoàn tất đăng nhập.

Không an toàn: bất kỳ ai khác đã khởi tạo đăng nhập. Điều này gồm cả kẻ tấn công qua mạng gửi QR qua tin nhắn, email hoặc hiển thị nó trên màn hình.

Nếu bạn không chắc QR có phải từ đăng nhập BẠN đã khởi tạo hay không, hãy hủy đăng nhập trên thiết bị gốc và thử lại.

Liên quan

Kiểm tra QR FIDO

Thả hình ảnh vào hoặc dán URI FIDO:. Kết quả hiển thị hoạt động, máy chủ tunnel, dấu thời gian và đánh giá rủi ro rõ ràng.

Mở máy quét →