What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Standarder · IATA stregkodet boardingkort

Hvad er kodet i en boardingkorts-stregkode?

Næsten alt, et flyselskab ved om din rejse. 2D-stregkoden (QR, Aztec eller PDF417) på dit boardingkort indeholder dit fulde navn, din seks- eller syvtegns bookingreference, flyselskab og flynummer, rute, afrejsedato, sæde, kabineklasse, check-in-sekvens og eventuelle loyalitetsprogramnummer på filen. Tilsammen er dit navn plus den bookingreference nok til at logge ind på flyselskabets hjemmeside og tilgå din booking – og det er grunden til, at et offentliggjort foto af et boardingkort udgør en reel sikkerhedsrisiko.

Verificér dit boardingkort → Alle standarder →

Hvad er formatet

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

Beholderen er symbolologi-fleksibel – de fleste flyselskaber bruger i dag QR-koder, europæiske højhastighedstog og SBB bruger Aztec, og et par ældre flyselskaber sender stadig PDF417. Den kodede TEKST er identisk på tværs af alle tre; kun den visuelle kodning adskiller sig. Vores scanner læser alle tre symbolologier og anvender den samme dekoder på den resulterende tekst.

Den obligatoriske del af ethvert boardingkort er præcis 60 tegn: et 2-tegns hoved (formatkode "M" + segmentantal) efterfulgt af 20 tegns passagernavn, 1 tegns elektronisk billetindikator og derefter 37 tegns segmentdata. Forbindelsesbilletter med mellemlandinger tilføjer yderligere 37 tegn pr. segment. Det betingede afsnit (efter de obligatoriske 60) indeholder typisk loyalitetsprogramnummeret, takstgrundlag, check-in-kilde (web / kiosk / agent) og eventuelle sikkerhedsdata tilføjet af flyselskabet.

Den fulde feltlayout

Hoved (2 tegn)

Formatkode "M" + antal segmenter (1-4). En billet med mellemlanding, f.eks. SFO → JFK → LHR, har segmentantal 2 og indeholder to segmentposter i forlængelse af hinanden.

Passagernavn (20 tegn)

"EFTERNAVN/FORNAVN" venstrejusteret og udfyldt med mellemrum. Lange navne afkortes; det navn, der er trykt på boardingkortet, er altid den primære kilde.

Elektronisk billetindikator (1 tegn)

"E" for en elektronisk billet (alle moderne boardingkort) eller " " for en papirbillet (næsten aldrig set i praksis).

Per segment (37 tegn pr. stk.)

PNR / reservationskode (7 tegn), bookingsreferencen.
Afgangs- / ankomstlufthavne (3 tegn hver), IATA trebogstavskoder.
Flyselskab (3 tegn, venstrejusteret), opererende flyselskabs IATA-kode.
Flynummer (5 tegn, nulludfyldt).
Flydato (3 tegn), juliansk dagsnummer (f.eks. "250" = dag 250 = 7. september).
Kabineklasse (1 tegn), Y / W / J / F / osv. (bookingklasse).
Sæde (4 tegn, nulludfyldt).
Sekvensnummer (5 tegn, nulludfyldt), din check-in-rækkefølge.
Passagerstatus (1 tegn), 1=bagage påkrævet, 2=loungeadgang, 3=bypass sikkerhedskontrol, F=ombord, G=gate-tjekket, osv.
Betinget længde (2 hex-tegn), antal bytes af betingede data efter dette segment.

Betinget afsnit (variabelt)

Efter hvert segment et valgfrit afsnit med flyselskabets egne ekstraoplysninger: loyalitetsprogramnummer, takstkode, bagagetillæg, flyselskabsspecifikke sikkerhedsdata og nogle mindre hyppige felter. Loyalitetsprogramnummeret er den mest privatlivsfølsomme oplysning her – det er en vedvarende identifikator, der binder alle dine flyvninger til én konto.

Sikkerhedsafsnit (variabelt, valgfrit)

Visse flyselskaber tilføjer en signatur, så boardingkortet kan verificeres offline ved porten. Få håndhæver det. Signaturens tilstedeværelse ændrer ikke indholdet af kroppen.

Hvorfor det er risikabelt at dele et foto af et boardingkort

Kombinationen af passagernavn + PNR (den 7-tegns bookingreference) fungerer reelt som et kodeord hos de fleste flyselskaber. Opslag under "Administrer min booking" accepterer disse to felter som identitetsbevis. Med dem kan en angriber:

Ændre din sædtildeling eller fjerne dig fra flyet.
Annullere en gratis opgradering eller fjerne dig fra opgraderingslisten.
Se dine kontaktoplysninger, herunder telefonnummer og e-mail tilknyttet bookingen.
Omdirigere loyalitetsprogrampoint (hos visse flyselskaber, med ekstra trin).
Se dine andre reservationer hos det samme flyselskab (hos visse flyselskaber).
Opbygge en målrettet phishing-e-mail – "Hej [dit navn], din United-flyvning 123 SFO → JFK den 7. september er omlæst, klik her for at bekræfte" – der citerer rigtige rejsedetaljer. Modtageren er langt mere tilbøjelig til at klikke end ved en generisk phishing-e-mail.

Adskillige flyselskaber har reageret på tidligere hændelser ved at tilføje flerfaktoridentitetsbevis til flowet for "administrer min booking". Mange har ikke.

Angrebet med omdirigering af loyalitetsprogrampoint er dokumenteret flere gange. Passagerer, der tweetede eller lagde et foto af et boardingkort på Instagram, har mistet opgraderinger, fået bookinger ændret og modtaget rejsematchede phishing-forsøg inden for timer.

Hvad vores scanner viser, og hvordan PNR maskeres

Synlig som standard

Passagernavn (for- og efternavn), flyselskab + flynummer (nul fjernet, f.eks. "AA123"), rute (SFO → JFK), dato i ISO-format (juliansk dag konverteret med smart årsrullefremad), sæde (nul fjernet, f.eks. "12A"), kabineklasse, sekvensnummer, status (med menneskelig etiket, "Ombord", "Loungeadgang" osv.). Billetter med mellemlandinger får per-segment-rækkelabels.

Følsomt (tryk for at afsløre)

PNR'en maskeres bag den samme tryk-for-at-afsløre-komponent, vi bruger til adgangskoder og 2FA-hemmeligheder. Et skærmbillede af resultatet uden at trykke på afsløringsknappen afslører ikke bookingsreferencen. Loyalitetsprogramnummeret – når det er til stede i det betingede afsnit – udtrækkes slet ikke af serveranalysatoren; det er en stabil identifikator, der forbinder flere rejser, og at vise det på en resultatside ville underminere privatlivsindstillingen.

Verificér dit eget boardingkort

Tre legitime grunde til, at folk scanner deres eget:

Bekræft at data er korrekte efter genudstedelse. Flyselskaber laver lejlighedsvist tastefejl i sæde- eller flynummer.
Tjek opgraderingen eller status, som portpersonalet fortalte dig om – passagerstatus-byten er den primære kilde.
Genfind en forlagt PNR, når du ikke længere har bekræftelses-e-mailen for bookingen, men stadig har et skærmbillede af kortet.

Scanneren kører i din browser; kun den afkodede tekst sendes til vores server (ikke billedet). Resultatet maskerer PNR som standard. Hvis du tager et skærmbillede af resultatet til din registrering, forbliver PNR maskeret, medmindre du aktivt afslører det inden skærmbilledet.

Relateret

Prøv det på dit boardingkort

Fotografér stregkoden (eller brug kameraet på scannersiden) og læg den ind. Resultatet viser hvert segment af din rejse med PNR maskeret.

Åbn scanner →