What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Piawaian · Pas Menaiki Berkod Bar IATA

Apa yang dikodkan dalam kod bar pas menaiki?

Hampir semua yang diketahui syarikat penerbangan tentang perjalanan anda. Kod bar 2-D (QR, Aztec, atau PDF417) pada pas menaiki membawa nama penuh anda, rujukan tempahan enam atau tujuh aksara, syarikat penerbangan dan nombor penerbangan, laluan, tarikh berlepas, tempat duduk, kelas kompartmen, urutan daftar masuk, dan sebarang nombor ahli penerbangan kerap yang ada. Bersama-sama, nama anda ditambah rujukan tempahan itu sudah cukup untuk log masuk ke laman web syarikat penerbangan dan mengakses tempahan anda — itulah sebabnya foto pas menaiki yang disiarkan secara terbuka adalah bahaya keselamatan yang sebenar.

Sahkan pas menaiki anda → Semua piawaian →

Apakah formatnya

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

Bekas adalah fleksibel dari segi simbologi — kebanyakan syarikat penerbangan menggunakan kod QR hari ini, kereta api berkelajuan tinggi Eropah dan SBB menggunakan Aztec, dan beberapa syarikat penerbangan warisan masih menggunakan PDF417. TEKS yang dikodkan adalah sama bagi ketiga-tiganya; hanya pengekodan visual berbeza. Pengimbas kami membaca ketiga-tiga simbologi dan menggunakan dekoder yang sama pada teks yang terhasil.

Bahagian mandatori setiap pas menaiki adalah tepat 60 aksara: pengepala 2 aksara (kod format “M” + kiraan segmen) diikuti 20 aksara nama penumpang, 1 aksara penunjuk tiket elektronik, kemudian 37 aksara data segmen. Sambungan berbilang segmen menambah 37 aksara lagi setiap segmen. Bahagian bersyarat (selepas 60 mandatori) biasanya membawa nombor ahli penerbangan kerap, asas tambang, sumber daftar masuk (web / kiosk / ejen), dan sebarang data keselamatan yang ditambah syarikat penerbangan.

Tataletak medan penuh

Pengepala (2 aksara)

Kod format “M” + bilangan segmen (1-4). Tiket berbilang segmen, cth. SFO → JFK → LHR, mempunyai kiraan segmen 2 dan membawa dua rekod segmen berturut-turut.

Nama penumpang (20 aksara)

“NAMABELAKANG/NAMADEPAN” rata kiri, diisi dengan ruang. Nama yang panjang akan dipotong; nama yang tertera pada pas adalah sumber kebenaran.

Penunjuk tiket elektronik (1 aksara)

“E” untuk tiket elektronik (setiap pas moden) atau “ ” untuk tiket kertas (hampir tidak pernah dilihat).

Setiap segmen (37 aksara setiap satu)

PNR / locator rekod (7 aksara), rujukan tempahan.
Lapangan terbang dari / ke (3 aksara setiap satu), kod tiga huruf IATA.
Syarikat penerbangan (3 aksara, rata kiri), kod IATA syarikat penerbangan pengendali.
Nombor penerbangan (5 aksara, diisi sifar).
Tarikh penerbangan (3 aksara), hari Julian dalam tahun (cth. “250” = hari ke-250 = 7 September).
Kompartmen (1 aksara), Y / W / J / F / dll. (kelas tempahan).
Tempat duduk (4 aksara, diisi sifar).
Nombor urutan (5 aksara, diisi sifar), susunan daftar masuk anda.
Status penumpang (1 aksara), 1=bagasi diperlukan, 2=akses lounge, 3=langkau keselamatan, F=menaiki, G=daftar masuk pintu, dll.
Panjang bersyarat (2 aksara hex), bait data bersyarat selepas segmen ini.

Bahagian bersyarat (berubah-ubah)

Selepas setiap segmen, bahagian pilihan yang membawa maklumat tambahan khusus syarikat penerbangan: nombor ahli penerbangan kerap, kod asas tambang, elaun bagasi, data keselamatan khusus syarikat penerbangan, dan beberapa medan yang kurang biasa. Nombor ahli penerbangan kerap adalah item paling sensitif dari segi privasi di sini — ia merupakan pengecam jangka panjang yang menghubungkan setiap penerbangan yang anda naiki kepada satu akaun.

Bahagian keselamatan (berubah-ubah, pilihan)

Sesetengah syarikat penerbangan menambah tandatangan supaya pas boleh disahkan di luar talian di pintu masuk. Hanya sedikit yang menguatkuasakannya. Kehadiran tandatangan tidak mengubah kandungan badan.

Mengapa menyiarkan foto pas menaiki adalah berisiko

Gabungan nama penumpang + PNR (rujukan tempahan 7 aksara) berfungsi seperti kata laluan di kebanyakan syarikat penerbangan. Carian “Urus tempahan saya” menerima dua medan itu sebagai bukti identiti. Dengan maklumat itu, penyerang boleh:

Menukar tugasan tempat duduk anda, atau memindahkan anda dari penerbangan.
Membatalkan naik taraf percuma atau memindahkan anda dari senarai tunggu naik taraf.
Melihat butiran hubungan anda, termasuk nombor telefon dan e-mel pada tempahan.
Mengalihkan batu ganjaran penerbangan kerap (sesetengah syarikat penerbangan, dengan langkah tambahan).
Melihat tempahan lain anda pada syarikat penerbangan yang sama (sesetengah syarikat penerbangan).
Membina e-mel pancingan data yang disasarkan, “Hai [nama anda], penerbangan United 123 SFO → JFK anda pada 7 Sep telah ditempah semula, klik di sini untuk sahkan” — yang menyebut butiran itineari sebenar. Penerima jauh lebih berkemungkinan mengklik berbanding e-mel pancingan data generik.

Beberapa syarikat penerbangan telah bertindak balas terhadap insiden lalu dengan menambah bukti identiti berbilang faktor pada aliran urus-tempahan-saya. Banyak yang belum berbuat demikian.

Serangan pengalihan batu ganjaran telah didokumentasikan beberapa kali. Penumpang yang mentweet atau memuat naik foto pas menaiki di Instagram telah kehilangan naik taraf, tempahan dipindahkan, dan disasarkan dengan pancingan data yang sepadan dengan itineari dalam masa beberapa jam.

Apa yang pengimbas kami tunjukkan, dan cara PNR disembunyikan

Ditunjukkan secara lalai

Nama penumpang (nama depan belakang), syarikat penerbangan + nombor penerbangan (tanpa sifar, cth. “AA123”), laluan (SFO → JFK), tarikh dalam format ISO (hari Julian dikembangkan dengan penganjakan tahun pintar), tempat duduk (tanpa sifar, cth. “12A”), kelas kompartmen, nombor urutan, status (dengan label manusia, “Menaiki”, “Akses lounge”, dll.). Pas berbilang segmen mendapat label baris setiap segmen.

Sensitif (ketuk untuk dedah)

PNR disembunyikan di sebalik komponen ketuk-untuk-dedah yang sama yang kami gunakan untuk kata laluan dan rahsia 2FA. Tangkapan skrin keputusan tanpa mengetuk butang dedah tidak membocorkan rujukan tempahan. Nombor ahli penerbangan kerap, apabila hadir dalam bahagian bersyarat, tidak diekstrak langsung oleh penganalisis pelayan — ia adalah identiti stabil yang menghubungkan berbilang perjalanan, dan menunjukkannya pada halaman keputusan akan merosakkan postur privasi.

Mengesahkan pas menaiki anda sendiri

Tiga sebab sah mengapa orang mengimbas pas mereka sendiri:

Sahkan data adalah betul selepas pengeluaran semula. Syarikat penerbangan kadang-kadang tersilap taip tempat duduk atau nombor penerbangan.
Semak naik taraf atau status yang diberitahu oleh ejen pintu masuk kepada anda — bait status penumpang adalah sumber kebenaran.
Dapatkan semula PNR yang hilang apabila anda tidak lagi mempunyai e-mel pengesahan tempahan tetapi masih mempunyai tangkapan skrin pas.

Pengimbas berjalan dalam pelayar anda; hanya teks yang didekod sampai ke pelayan kami (bukan imej). Keputusan menyembunyikan PNR secara lalai. Jika anda mengambil tangkapan skrin keputusan untuk rekod anda, PNR kekal tersembunyi melainkan anda mendedahkannya secara eksplisit sebelum tangkapan skrin.

Berkaitan

Cuba pada pas menaiki anda

Fotografikan kod bar (atau gunakan kamera pada halaman pengimbas) dan letakkan di sini. Keputusan menunjukkan setiap segmen itineari anda dengan PNR disembunyikan.

Buka pengimbas →