What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Standardit · IATA-viivakoodi-boarding-passi

Mitä boarding-passin viivakoodiin on koodattu?

Lähes kaikki mitä lentoyhtiö tietää matkastasi. Boarding-passisi 2D-viivakoodi (QR, Aztec tai PDF417) sisältää koko nimesi, kuusi- tai seitsemänmerkkisen varausviitteesi, lentoyhtiön ja lentonumeron, reitin, lähtöpäivän, istumapaikan, matkustusluokan, lähtöselvitysjärjestyksen ja mahdollisesti kanta-asiakasnumeron. Yhdessä nimesi ja varausviitteesi riittävät kirjautumiseen lentoyhtiön verkkosivustolle ja varauksen käsittelyyn – siksi julkisesti jaettu kuva boarding-passista on todellinen turvallisuusriski.

Tarkista boarding-passi → Kaikki standardit →

Mikä on formaatti

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

Säiliö on symbologialtaan joustava – useimmat lentoyhtiöt käyttävät nykyään QR-koodeja, eurooppalaiset suurnopeusrautatiet ja SBB käyttävät Aztecia, ja muutama vanha lentoyhtiö lähettää edelleen PDF417:ää. Koodattu TEKSTI on identtinen kaikissa kolmessa; vain visuaalinen koodaus eroaa. Skannerimme lukee kaikkia kolmea symbologiaa ja soveltaa samaa dekooderia tulostekstiin.

Jokaisen boarding-passin pakollinen osa on tasan 60 merkkiä: 2 merkin otsikko (formattikoodi "M" + segmenttien lukumäärä) sekä 20 merkin matkustajannimi, 1 merkin sähköinen lippu -ilmaisin ja sitten 37 merkin segmenttidata. Välilaskuyhteydet lisäävät 37 merkkiä segmenttiä kohden. Ehdollinen osio (pakollisten 60 jälkeen) sisältää yleensä kanta-asiakasnumeron, tariffiperusteen, lähtöselvityslähteen (verkko / kioski / virkailija) ja lentoyhtiön lisäämät turvallisuustiedot.

Koko kentän asettelu

Otsikko (2 merkkiä)

Formattikoodi "M" + segmenttien lukumäärä (1–4). Välilaskulennolla, esim. SFO → JFK → LHR, on segmenttiä 2 ja se sisältää kaksi segmenttitietuetta peräkkäin.

Matkustajan nimi (20 merkkiä)

"SUKUNIMI/ETUNIMI" vasemmalle tasattu ja välilyönneillä täytetty. Pitkät nimet lyhennetään; boarding-passiin painettu nimi on aina ensisijainen tieto.

Sähköinen lippu -ilmaisin (1 merkki)

"E" sähköiselle lipulle (kaikki nykyaikaiset boarding-passit) tai " " paperimatkalipulle (käytännössä ei koskaan nähtävissä).

Segmenttikohtainen (37 merkkiä kukin)

PNR / varauskoodi (7 merkkiä), varausviite.
Lähtö- / kohdelentokentät (3 merkkiä kumpainenkin), IATA:n kolmikirjaimiset koodit.
Lentoyhtiö (3 merkkiä, vasemmalle tasattu), liikennöivän lentoyhtiön IATA-koodi.
Lentonumero (5 merkkiä, nollilla täydennetty).
Lentopäivä (3 merkkiä), juliaaninen vuosipäivä (esim. "250" = päivä 250 = 7. syyskuuta).
Matkustusluokka (1 merkki), Y / W / J / F / jne. (varausluokka).
Istumapaikka (4 merkkiä, nollilla täydennetty).
Järjestysnumero (5 merkkiä, nollilla täydennetty), lähtöselvitysjärjestyksesi.
Matkustajan tila (1 merkki), 1=matkatavarat vaaditaan, 2=lounge-pääsy, 3=turvatarkastus ohitetaan, F=koneessa, G=portilla tarkastettu, jne.
Ehdollinen pituus (2 heksadesimaalimerkkiä), ehdollisten tietojen tavumäärä tämän segmentin jälkeen.

Ehdollinen osio (vaihtuva)

Jokaisen segmentin jälkeen valinnainen osio, joka sisältää lentoyhtiökohtaiset lisätiedot: kanta-asiakasnumero, tariffiperustekoodi, matkatavarakiintiö, lentoyhtiökohtaiset turvallisuustiedot ja joitakin harvinaisempia kenttiä. Kanta-asiakasnumero on tässä yksityisyyden kannalta arkaluottoisin tieto – se on pysyvä tunniste, joka yhdistää kaikki lentosi yhteen tiliin.

Turvallisuusosio (vaihtuva, valinnainen)

Jotkut lentoyhtiöt lisäävät allekirjoituksen, jotta boarding-passi voidaan vahvistaa offline-tilassa portilla. Harvat valvovat tätä. Allekirjoituksen olemassaolo ei muuta rungon sisältöä.

Miksi boarding-passin kuvan jakaminen on riskialtista

Matkustajan nimi + PNR (7 merkin varausviite) toimii käytännössä salasanana useimmilla lentoyhtiöillä. "Hallinnoi varauksiani" -hakutoiminto hyväksyy nämä kaksi kenttää henkilöllisyyden todistamiseen. Niiden avulla hyökkääjä voi:

Vaihtaa istumapaikkasi tai siirtää sinut pois lennolta.
Peruuttaa ilmaisen päivityksen tai poistaa sinut päivitysjonosta.
Nähdä yhteystietosi, mukaan lukien varauksessa oleva puhelinnumero ja sähköpostiosoite.
Ohjata kanta-asiakasmailit (joillakin lentoyhtiöillä, lisätoimin).
Nähdä muut varauksesi samalla lentoyhtiöllä (joillakin lentoyhtiöillä).
Rakentaa kohdistetun kalasteluviestin – "Hei [nimesi], United-lentosi 123 SFO → JFK 7. syyskuuta on muutettu, vahvista tästä" – joka sisältää oikeat matkatiedot. Vastaanottaja klikkaa todennäköisemmin kuin yleistä kalasteluviestiä.

Useat lentoyhtiöt ovat reagoineet aiempiin tapauksiin lisäämällä monivaiheisen henkilöllisyyden todentamisen hallinnointipalveluun. Monet eivät ole.

Kanta-asiaspisteytyksen ohjaamishyökkäys on dokumentoitu useita kertoja. Matkustajat, jotka twiittasivat tai julkaisivat boarding-passin kuvan Instagramissa, ovat menettäneet päivityksiä, saaneet varauksiaan muutettua ja joutuneet matkatietoja vastaavan kalastelun kohteeksi muutamassa tunnissa.

Mitä skannerimme näyttää ja miten PNR peitetään

Näkyy oletuksena

Matkustajan nimi (etu- ja sukunimi), lentoyhtiö + lentonumero (ilman nollia, esim. "AA123"), reitti (SFO → JFK), päivämäärä ISO-muodossa (juliaaninen päivä laajennettuna älykkäällä vuodenvaihdesiirtymällä), istumapaikka (ilman nollia, esim. "12A"), matkustusluokka, järjestysnumero, tila (ihmisluettavalla etiketillä: "Koneessa", "Lounge-pääsy" jne.). Välilaskuyhteyksillä on segmenttikohtaiset rivimerkinnät.

Arkaluontoinen (napauta paljastaaksesi)

PNR peitetään samalla napauta-paljastaaksesi-komponentilla, jota käytämme salasanoissa ja 2FA-salaisuuksissa. Kuvakaappaus tuloksesta ilman paljastuspainikkeen painamista ei vuoda varausviitettä. Kanta-asiakasnumeroa – kun se on ehdollisessa osiossa – palvelimen analysaattori ei pura lainkaan; se on vakaa tunniste, joka yhdistää useita matkoja, ja sen näyttäminen tulossivulla heikentäisi tietosuoja-asetelmaa.

Oman boarding-passin tarkistaminen

Kolme perusteltua syytä skannata oma boarding-passi:

Varmista tietojen oikeellisuus uudelleenliputuksen jälkeen. Lentoyhtiöillä on toisinaan kirjoitusvirheitä istumapaikassa tai lentonumerossa.
Tarkista päivitys tai tila, josta porttihenkilökunta kertoi – matkustajastatuksen tavu on ensisijainen tieto.
Palauta kadonnut PNR, kun vahvistussähköpostia ei enää ole mutta kuvakaappaus boarding-passista löytyy.

Skanneri toimii selaimessasi; vain dekoodattu teksti lähetetään palvelimillemme (ei kuvaa). Tulos peittää PNR:n oletuksena. Jos otat kuvakaappauksen tuloksesta muistiinpanoihisi, PNR pysyy peitettynä, ellet paljasta sitä nimenomaisesti ennen kuvakaappausta.

Aiheeseen liittyvää

Kokeile omalla boarding-passissasi

Kuvaa viivakoodi (tai käytä skannerisivun kameraa) ja pudota se sisään. Tulos näyttää jokaisen matkan segmentin PNR:n peitettynä.

Avaa skanneri →