What is the otpauth-migration:// QR?

It's the QR code Google Authenticator shows when you tap 'Transfer accounts → Export'. The image carries every 2FA secret in the authenticator at once, encoded as a protocol-buffer bundle.

Is it dangerous to scan?

Only if you're not the person who generated it. Anyone who can photograph the QR can produce valid 2FA codes for every account inside. Treat it like a password manager export: only ever displayed briefly on your own screen, scanned only by your new device.

Can I see what's inside without exposing my secrets?

Yes, our scanner decodes the protocol-buffer bundle and shows you the list of accounts (issuer + account name) without ever decoding the secret seeds themselves. Useful for verifying the export matches the accounts you expect before importing on a new device.

Is this only a Google Authenticator format?

The otpauth-migration:// URI is Google's invention, but the format has been reverse-engineered and several third-party apps (Aegis, Raivo OTP, etc.) can import from it. Apps that export the same way include Microsoft Authenticator (in some flows) and 2FAS.

标准 · otpauth-migration

Google Authenticator导出QR安全吗？

仅当您在自己的旧手机上亲自生成、并用自己的新手机直接对准屏幕扫描时才安全。任何其他人因任何原因拍摄该QR，都将永久获得捆绑包中所有账户的每一个双重验证码访问权限。

验证捆绑包 → 所有标准 →

它是什么

Google Authenticator及若干兼容应用（Aegis、Raivo OTP、2FAS）允许您"导出"已存储的双重验证账户，以便迁移到新设备。导出形式为一个URI以 otpauth-migration:// 开头的QR码。该URI内部是一个单一的protocol buffer捆绑包（Google的MigrationPayload架构），一次性携带所有账户信息——签发方、账户名称、种子密钥、算法、位数、类型（HOTP / TOTP）及计数器。

该格式最初没有文档记录，但已被逆向工程，现已成为双重验证备份的事实标准交换格式。第三方身份验证器应用可识别并导入同一QR。

一个QR可能包含数十个账户。该QR在视觉上与普通TOTP设置QR无法区分——没有任何视觉标记向旁观者表明它携带了整个捆绑包。

为何一个捆绑包QR具有独特的危险性

普通的 otpauth:// 设置QR如果不是您主动请求的，扫描本身就有风险，但影响范围仅限于一个账户。迁移QR的影响范围是您身份验证器中的所有账户。如果攻击者拍摄了显示该QR的屏幕——在咖啡馆从您身后拍、通过您未注意到的监控摄像头拍、透过透明玻璃窗拍——他们就永久获得了绕过该捆绑包所涵盖所有账户双重验证的能力。直到您逐个账户手动更换密钥，而大多数服务并不提供便捷的轮换方式。

捆绑包中的密钥没有到期时间。不同于会话令牌（会过期），不同于通行密钥QR（一次性使用），迁移捆绑包中的种子在您逐一替换之前始终有效。

这就是为何我们的扫描仪对每个 otpauth-migration:// QR的判定都以likely_dangerous（极可能危险）开始，且不因具体情境而改变。格式本身没有问题，威胁来自该格式存在本身。

内部结构（解剖）

URI格式如下：

otpauth-migration://offline?data=<urlsafe-base64-encoded-protobuf>

base64正文解码后，是一个包含以下顶层字段的 MigrationPayload protocol buffer：

otp_parameters，重复出现，每个账户一个条目。
version，架构版本。
batch_size，导出内容分散到多个QR时的总分块数。
batch_index，当前分块的位置。
batch_id，将各分块关联在一起的唯一标识符。

每个 otp_parameters 条目包含：

密钥，原始种子字节。这是实际的密钥材料。
名称，账户标签（如 alice@acme.com）。
签发方，服务名称（如 ACME、GitHub）。
算法，SHA1 / SHA256 / SHA512 / MD5。
位数，每个验证码6位或8位。
类型，TOTP（基于时间）或HOTP（基于计数器）。
计数器，HOTP条目的当前计数器值。

我们的扫描仪显示的内容，以及刻意不显示的内容

✓ 已显示

对于捆绑包中的每个条目，判定结果显示签发方（ACME、GitHub、AWS）、账户名称（alice@acme.com）、算法（SHA1）、位数（6）以及类型（TOTP）。判定结果披露内容显示为"此捆绑包中的授权：ACME / alice@acme.com；GitHub / bob@github；AWS / root；……"，以便正在进行迁移的用户在导入前可以核查列表。

架构版本、分块索引、分块总数和分块ID也会显示，在导出内容被分散到多个QR时非常有用。

✗ 从不解码

原始 secret 字节永远不会被解码输出到判定结果中。我们的分析器只读取这些字节以验证每个条目的格式是否正确（密钥存在且非空），之后在构建结果前即丢弃该值。

此行为通过测试套件进行断言——我们向分析器输入包含金丝雀字符串（SECRET_SEED_1、SECRET_SEED_2）的手工protobuf载荷，并断言这些字符串永远不会出现在序列化的判定结果输出中。此处的回归将导致CI失败。

何时（以及如何）使用

合法使用场景：您正在从旧手机换到新手机。旧手机在屏幕上显示迁移QR约30秒。新手机的身份验证器应用对准屏幕完成导入。房间里没有其他人。确认全部导入成功后，从旧手机删除导出内容。

危险情形包括：

QR的截图。保存到云同步相册的截图，会出现在同步到该账户的每台设备上。
通过聊天分享QR。即使只是短暂分享，任何能访问该聊天记录的人（现在或将来）都能提取捆绑包。
在求助论坛帖子中发布QR。这种情况比您想象的更常见——有人求助时，可能误发了身份验证器导出的照片。
被误认为设置QR的公共海报/标牌。该格式在视觉上与单账户设置QR无法区分。

如果您怀疑迁移QR已被泄露

将其视为捆绑包内所有账户的凭证泄露。按顺序执行的恢复步骤：

登录每个受影响的服务并轮换 2FA 密钥。大多数服务允许您在 账户 → 安全 → 双重身份验证 → 停用后重新注册 下执行此操作。
对于不提供轮换功能的服务（极少但存在），请删除后重新添加账户。
审计每个受影响账户的近期登录活动。
从所有可能存有该QR的设备及云同步相册中删除原始导出QR。

获得捆绑包的攻击者可以在您轮换之前持续数年生成有效的双重验证码。请勿拖延。

验证您的捆绑包

将QR图像拖入我们的扫描仪，粘贴 otpauth-migration:// URI，或使用摄像头。判定结果显示捆绑包中的每个账户，且不解码任何密钥。

打开扫描仪 →