What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Standaarden · IATA streepjescodeerde instapkaart

Wat is er gecodeerd in een instapkaartstreepjescode?

Bijna alles wat een luchtvaartmaatschappij weet over uw reis. De 2D-streepjescode (QR, Aztec of PDF417) op uw instapkaart bevat uw volledige naam, uw zes- of zevencijferige boekingsreferentie, de maatschappij en het vluchtnummer, de route, de vertrekdatum, de stoel, de klasse, het incheckvolgnummer en eventueel het frequent-flyernummer. Samen vormen uw naam en die boekingsreferentie voldoende om in te loggen op de website van de luchtvaartmaatschappij en toegang te krijgen tot uw boeking. Dat is precies waarom een foto van een instapkaart die openbaar geplaatst wordt een echte veiligheidsrisico is.

Verifieer uw instapkaart → Alle standaarden →

Wat is het formaat

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

De container is symbologie-flexibel: de meeste luchtvaartmaatschappijen gebruiken tegenwoordig QR-codes, Europese hogesnelheidstreinen en SBB gebruiken Aztec, en een paar oudere maatschappijen gebruiken nog steeds PDF417. De gecodeerde TEKST is identiek voor alle drie; alleen de visuele codering verschilt. Onze scanner leest alle drie de symbologieën en past dezelfde decoder toe op de resulterende tekst.

Het verplichte gedeelte van elke instapkaart is precies 60 tekens: een 2-teken header (formaatcode "M" + segmenttelling) gevolgd door 20 tekens passagiersnaam, 1 teken elektronisch-ticket indicator, dan 37 tekens segmentgegevens. Meersegments verbindingen voegen nog eens 37 tekens per segment toe. De voorwaardelijke sectie (na de verplichte 60) bevat doorgaans het frequent-flyernummer, tariefbasis, bron van inchecken (web / kiosk / agent) en eventuele beveiligingsgegevens die de maatschappij heeft toegevoegd.

De volledige veldindeling

Header (2 tekens)

Formaatcode "M" + aantal segmenten (1-4). Een meersegments ticket, bijv. SFO → JFK → LHR, heeft segmenttelling 2 en bevat twee segmentrecords achter elkaar.

Naam passagier (20 tekens)

"ACHTERNAAM/VOORNAAM" links uitgelijnd, aangevuld met spaties. Lange namen worden afgekapt; de naam die op het scherm op de instapkaart staat is altijd de bron van de waarheid.

Elektronisch-ticket indicator (1 teken)

"E" voor een elektronisch ticket (elke moderne instapkaart) of " " voor een papieren exemplaar (vrijwel nooit aangetroffen).

Per segment (37 tekens elk)

PNR / recordlocator (7 tekens), de boekingsreferentie.
Van / naar luchthavens (3 tekens elk), IATA drieletterige codes.
Luchtvaartmaatschappij (3 tekens, links uitgelijnd), IATA-code van de uitvoerende maatschappij.
Vluchtnummer (5 tekens, met nullen aangevuld).
Vluchtdatum (3 tekens), Juliaanse dag van het jaar (bijv. "250" = dag 250 = 7 september).
Klasse (1 teken), Y / W / J / F / etc. (boekingsklasse).
Stoel (4 tekens, met nullen aangevuld).
Volgnummer (5 tekens, met nullen aangevuld), uw incheckolgorde.
Passagiersstatus (1 teken), 1=bagage vereist, 2=loungetoegang, 3=beveiligingscontrole overslaan, F=ingestapt, G=gate-ingecheckt, etc.
Voorwaardelijke lengte (2 hex-tekens), bytes voorwaardelijke gegevens na dit segment.

Voorwaardelijke sectie (variabel)

Na elk segment volgt een optionele sectie met luchtvaartmaatschappij-specifieke extra's: frequent-flyernummer, tariefbasiscode, bagagetoeslag, luchtvaartmaatschappij-specifieke beveiligingsgegevens en enkele minder voorkomende velden. Het frequent-flyernummer is het meest privacygevoelige item hier: het is een langdurige identificatie die elke vlucht die u ooit hebt gemaakt koppelt aan één account.

Beveiligingssectie (variabel, optioneel)

Sommige luchtvaartmaatschappijen voegen een handtekening toe zodat de kaart offline bij de gate geverifieerd kan worden. Weinig handhaven dit. De aanwezigheid van de handtekening verandert niets aan wat er in de inhoud staat.

Waarom het plaatsen van een instapkaartfoto riskant is

De combinatie van passagiersnaam + PNR (de 7-teken boekingsreferentie) is functioneel een wachtwoord bij de meeste luchtvaartmaatschappijen. Opzoekingen via "mijn boeking beheren" accepteren die twee velden als identiteitsbewijs. Hiermee kan een aanvaller:

Uw stoeltoewijzing wijzigen, of u van de vlucht verwijderen.
Een gratis upgrade annuleren of u van de upgradewachtlijst verwijderen.
Uw contactgegevens bekijken, inclusief het telefoonnummer en e-mailadres op de boeking.
Frequent-flyer miles omleiden (sommige maatschappijen, met extra stappen).
Uw andere reserveringen bij dezelfde luchtvaartmaatschappij bekijken (sommige maatschappijen).
Een gerichte phishing-e-mail opstellen, "Hallo [uw naam], uw United-vlucht 123 SFO → JFK op 7 sep is omgeboekt, klik hier om te bevestigen", die echte reisdetails noemt. De ontvanger klikt hier veel eerder op dan op een generieke phishing-e-mail.

Meerdere luchtvaartmaatschappijen hebben na eerdere incidenten multi-factor identiteitsbewijs toegevoegd aan de "mijn boeking beheren"-stroom. Veel maatschappijen hebben dat niet gedaan.

De miles-omleidingsaanval is meerdere keren gedocumenteerd. Passagiers die een instapkaartfoto tweetten of op Instagram plaatsten hebben upgrades verloren, hadden boekingen verplaatst, en werden binnen uren getarget met reisplan-matched phishing.

Wat onze scanner toont, en hoe PNR wordt gemaskeerd

Standaard zichtbaar

Naam passagier (voornaam achternaam), maatschappij + vluchtnummer (zonder nullen, bijv. "AA123"), route (SFO → JFK), datum in ISO-formaat (Juliaanse dag uitgebreid met slimme jaaroverrolling), stoel (zonder nullen, bijv. "12A"), klasse, volgnummer, status (met mensvriendelijk label, "Ingestapt", "Loungetoegang", etc.). Meersegments instapkaarten krijgen per-segment rijlabels.

Gevoelig (tik om te tonen)

De PNR wordt gemaskeerd achter dezelfde tik-om-te-tonen component die we gebruiken voor wachtwoorden en 2FA-geheimen. Een schermafbeelding van het vonnis zonder op de tonen-knop te tikken lekt de boekingsreferentie niet. Het frequent-flyernummer, wanneer aanwezig in de voorwaardelijke sectie, wordt helemaal niet door de serveranalyser geëxtraheerd. Het is een stabiele identificatie die meerdere reizen aan elkaar koppelt, en het tonen ervan op een vonnispagina zou de privacyhouding ondermijnen.

Uw eigen instapkaart verifiëren

Drie legitieme redenen waarom mensen hun eigen instapkaart scannen:

Controleer of de gegevens correct zijn na een heruitgifte. Luchtvaartmaatschappijen maken soms een typfout bij een stoel of vluchtnummer.
Controleer de upgrade of status die de gate-agent u vertelde. De passagierstatusbyte is de bron van de waarheid.
Herstel een kwijtgeraakte PNR wanneer u de boekingsbevestigingsmail niet meer heeft maar nog wel een schermafbeelding van de kaart.

De scanner draait in uw browser; alleen de gedecodeerde tekst bereikt onze server (niet de afbeelding). Het vonnis maskeert de PNR standaard. Als u het vonnis schermafbeeldt voor uw administratie, blijft de PNR gemaskeerd tenzij u hem expliciet onthult voor de schermafbeelding.

Gerelateerd

Probeer het op uw instapkaart

Fotografeer de streepjescode (of gebruik de camera op de scannerpagina) en sleep hem erin. Het vonnis toont elk segment van uw reisplan met de PNR gemaskeerd.

Scanner openen →