Standarder

Hver QR-standard vi gjenkjenner, forklart

En QR-kode er en beholder. Innholdet kan være en betaling, en vaksinasjons­attest, et drivers­lisens­nummer, et passord­nøkkel-innloggings­forsøk eller et smart­hjem­enhets­paring. Denne siden forklarer hva vi gjenkjenner og hva vi viser.

Prøv skanneren → Se full dekning →

Betalingsstandarder

Hver QR du har skannet for å betale en kjøpmann de siste fem årene kjører på EMVCo sin TLV-ramme, men det nasjonale betalingsoppsettet (Pix, UPI, PromptPay, Swish) legger til egne tagger.

EMVCo MPM / CPM

Basisstandarden for hvert handelspresenterte QR-betalingssystem globalt. Tag-Length-Value-tekst, ingen kryptering, dekoderbar av enhver QR-skanner. Tagene 26–51 bærer den lands­spesifikke betalingskonto­identifikatoren; tag 59 er kjøpmannsnavnet lommebøkene dine viser.

Vi viser: kjøpmannsnavn, by, land, ISO 4217-valuta (full navn + kode), beløp, statisk vs. dynamisk, MCC-kategorikode, tips­flagg, CRC-valideringsresultat, lands­spesifikt betalingsoppsett (Pix, UPI, PromptPay osv.).

Trusselbedømmelse: ugyldig CRC → mistenkelig (QR-koden har blitt endret eller ødelagt). Kjøpmannsnavn som ikke samsvarer med stedet du befinner deg på → advarsel. Kjent dreneringssignatur → blokkert.

Dybde­dykk i klistremerke-bytte → · Generatorreferanse →

Pix (Brazil)

Brasils sentralbanks direktebetalingsoppsett. Verdens ledende etter transaksjons­volum. To varianter: statisk (gjenbrukbar, du fyller inn beløpet) og dynamisk (engangs, beløpet er inkludert).

Vi viser: mottakers Pix-nøkkel (CPF / CNPJ / e-post / telefon / EVP UUID), betalingsbeskrivelse, kjøpmannsnavn, by, statisk vs. dynamisk, CRC-valideringsresultat.

Slik lager du en →

UPI (India)

Indias Unified Payments Interface, det største etter bruker­antall. UPI Virtual Payment Address (VPA) ruter betalinger gjennom NPCI-clearinghuset.

Vi viser: betalingsmottakers VPA, betalingsmottakers navn, beløp, valuta, transaksjons­referanse, MCC, transaksjons­melding.

Slik lager du en →

Swiss QR-bill

ISO 20022 SPC v2.2, ikke EMVCo. Erstatter den oransje/røde sveitsiske betalings­slippen. 33 linjedelede felt: IBAN, beløp, valuta, kreditor, debitor, betalings­referanse.

Vi viser: kreditors IBAN, full kreditoradresse, ultimate debitor, beløp, valuta, betalingsreferanse (QRR / SCOR / NON), ekstra informasjon.

Slik lager du en →

EPC Girocode (SEPA)

European Payments Council sin kreditoverførings-QR. Brukt mye i Tyskland, Østerrike, Nederland og Belgia. 33 linjer delt felt: BIC, IBAN, beløp, mottaker, remittanseinformasjon.

Vi viser: mottakernavn, IBAN, BIC, beløp, remittanseinformasjon (strukturert eller ustrukturert), EPC QR-versjon.

Slik lager du en →

ZATCA Fatoora (Saudi Arabia)

Kryptografisk signert fakturering, obligatorisk på alle forretningstransaksjoner i Kongeriket. TLV-kodet, ECDSA-signert. Vi viser selgernavn, moms­registreringsnummer, tidsstempel, fakturabeløp, moms­beløp, KSA-faktura­hash.

Vi viser: selgernavn, moms­registreringsnummer, ISO 8601-tidsstempel, fakturatotalt, avgiftsbeløp.

Slik lager du en →

Og mange flere: vi identifiserer nasjonale betalingsoppsett for 54 land, PromptPay (Thailand), PayNow (Singapore), DuitNow (Malaysia), FPS (Hong Kong), Bizum (Spania), Swish (Sverige), BLIK (Polen), MB WAY (Portugal), Wero (flernasjonalt EU) og mange flere.

Helseattester

Vaksinasjons­registre, resepter, lab­resultater og reise­sertifikater. Kryptografisk signerte formater som bærer sensitiv medisinsk informasjon som fortjener spesiell forsiktighet.

SMART Health Cards

Numerisk kodet JWS som pakker inn en DEFLATE-komprimert JSON-nyttelast med FHIR-ressurser. Brukt av Apple Wallet, Google Health og statsutstedte vaksinasjons­sertifikater i USA, Canada, Louisiana.

Vi viser: utsteder-URL, ISO-tidsstempel for utstedelse, legitimasjonstype (covid19 / immunisering / labresultat), utstederkontext-type.

Vi dekoder aldri: pasientnavn, fødselsdato, vaksinasjons-/testdatoer, individuelle FHIR-ressurs­detaljer.

EU Digital COVID Certificate (HC1)

HC1:-prefikset pakker inn en base45 → DEFLATE → COSE_Sign1 → CBOR → CWT-kjede som ender i en DGC-struktur. Brukt for EU/UK digitale COVID-sertifikater.

Vi viser: utstederland (ISO 3166-1), utstedt-ikke-før-tidspunkt, utløps­tidspunkt, vaksine/test/helbredelse-type, target-sykdom (COVID-19 / influensa / osv.), vaksine­produktkode.

Vi dekoder aldri: pasientnavn, fødselsdato, dosedatoer, unikt sertifikat­identifikator (UVCI). Bare metadata fra utstederen og vaksine­typen.

Identitets­dokumenter

Førerkort, mobil-ID-er og digitale identitets­lommebøker. Strekkoden på baksiden av et nordamerikansk førerkort inneholder praktisk talt alt som vises foran.

AAMVA driver license

PDF417-strekkoden på baksiden av hvert førerkort i USA og Canada. Delfilelementer formatert etter AAMVA Card Design Standard, vedlegg D.12.5.

Vi viser (~17 felt): for-, mellom- og etternavn, fødselsnummer i ISO-format, kjønn, høyde, øyenfarge, førerkortnummer (maskert), førerkortklasse, restriksjoner, påtegninger, utløpsdato, utstedelsesdato, full adresse, land, organdonorsflagg, veteranflagg samt grense for under-21.

Sensitiv som standard: førerkort­nummer + fødselsdato vises som skjult tekst som krever trykk for å avsløres, slik at et skjermbilde av resultatet ikke i seg selv er en identitetslekkasje. Personvernadvarselen påpeker at barer og klubber som skanner ID tar imot ALLE disse dataene, ikke bare innehaverens alder.

Fullstendig anatomi → · Generatorreferanse →

Mobile Driver License (ISO 18013-5)

mdoc: QR-koden iOS/Android mobile­førerkort viser når det overleveres til en verifikator. Inneholder en QR-engangsnøkkel-datagram: versjonen av mDL-engasjements­protokollen, ECDH-offentlig nøkkel, sifersuite, transportmulighetene.

Vi viser: protokoll­versjon, sifersuite (P-256 ECDH-ES + A256GCM typisk), engasjements­kontekst, deviceRetrieval­metoder (BLE / NFC / WiFiAware).

Vi dekoder aldri: innehaverens efemere offentlige nøkkelbytes (overflatene hex-prefiks kun).

Fullstendig mDL-guide →

EU Digital ID Wallet (eIDAS 2.0)

OpenID4VP og eudi-openid4vp-oppsett for grense­overskridende identitetspresentasjon. Medlemslandenes lommebøker vil bruke disse URI-ene når de presenterer eID-er og diplomer.

Vi viser: protokollfamilie (openid4vp / eudi-openid4vp / mdoc-openid4vp), klient-ID, omdirigerings-URI, nonce, respons-modus, presentasjonsdefinisjon-ID.

DID URIs

Desentraliserte identifikatorer: did:web, did:key, did:ion, did:ebsi og andre metoder.

Vi viser: DID-metode, metode­spesifikk identifikator, tjenesteparameter, relativ referanse, verifiseringsfragment.

Autentisering og passord­nøkler

QR-innloggingsflytene som beskytter (eller kompromitterer) alle kontoene dine. Vi identifiserer hver type og advarer tydelig når en QR ber deg fullføre noens annens innlogging i stedet for din egen.

FIDO CTAP 2.2 hybrid

Tverrenhets-passord­nøkkel-QR-koden laptoppen din viser når du logger på med en passord­nøkkel på en ny enhet.

Vi viser: operasjon (make-credential / get-assertion / discovery), tunnel-ID og WebSocket-reléserververts­navn, tunnel-tunnelversjonsparameter.

Hard advarsel: å skanne denne QR-koden fullfører en innlogging noen STARTET PÅ EN ANNEN ENHET. Det er en intendert funksjon, men bare gjør det hvis du kontrollerer enheten som viste QR-koden.

Les: bør jeg skanne denne passord­nøkkel-innloggings-QR? →

HOTP / TOTP (2FA setup)

RFC 4226 / RFC 6238 engangspassord-oppsett-QR-koder. Otpauth://-URI-en banken eller arbeids­appen din viser når du aktiverer 2FA. Inneholder utsteder, konto, algoritme, sifre, periode, og den kodede frø­hemmeligheten.

Vi viser: utsteder, konto, algoritme (SHA1 / SHA256 / SHA512), sifre (6 / 8), periode (30 / 60 sek), teller (HOTP).

Sensitiv som standard: Base32-hemmeligheten vises som trykk-for-å-avsløre. Vi Base32-validerer også hemmeligheten og merker ugyldige.

TOTP → · HOTP →

Authenticator export (otpauth-migration)

Google Authenticator-masseeksport-QR-koden. Bærer alle 2FA-hemmeligheter i autentiseringsappen din i én enkelt QR. Bruker otpauth-migration:-URI med en base64-kodet protobuf-nyttelast.

Vi viser (per oppføring): utsteder, konto, type (HOTP / TOTP), algoritme, sifre, HOTP-teller. Antall eksporterte kontoer og batchversjon.

Vi dekoder aldri: de faktiske hemmelige frø-bytene. Verifisert ved tester.

Hard advarsel: trusselklassen er sannsynligvis_farlig med mindre brukeren bekrefter at de migrerer sin egen app. En migrasjons-QR som deles med andre overfører kontroll over alle kontiene dine.

Fullstendig anatomi + sikkerhetsveiledning →

Sign-In with Ethereum (SIWE / EIP-4361)

Klartekst-innloggingsmeldingen lommeboken din signerer for å bevise kontroll over en lomme­boks­adresse til et nettsted.

Vi viser: nettstedsdomene, lomme­boks­adresse, kjede-ID, nonce, utløps­tidspunkt.

Advarsel: les nettsted og setning nøye. Et ondsinnet nettsted kan bruke en signert SIWE-melding til å fremstille seg som deg på en annen plattform.

Reise og billetter

IATA boarding pass (Resolution 792)

QR/Aztec/PDF417 på ombordstigningskortet ditt. Fast bredde på overskriften (60 tegn) pluss 37 tegn obligatoriske data per segment.

Vi viser (per segment): flyselskapskode + flynummer (uten innledende nuller), rute (FRA → TIL), dato (juliansk dag → ISO med smart årsberegning fremover), setenummer, kabinklasse, sekvensnummer, status (Ombordstigning / Lounge-tilgang / Sikkerhetskontroll omgått / m.m.). Flersegmentkort får prefiks per segment.

Sensitiv som standard: PNR/bestillingsreferanse vises skjult til man trykker; navnet ditt pluss PNR er nok for å få tilgang til bestillingen på de fleste flyselskaper. Ikke publiser bilder av ombordstigningskortet offentlig.

Fullstendig felt-for-felt-guide →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

Vi viser: SM-DP+ FQDN (operatørserveren som vil snakke med enheten din), aktiveringskodesegment (maskert – nødvendig for installasjon, ikke for verifisering), SM-DS-adresse hvis tilstede, bekreftelses­kodekrav.

Advarsel: en installert eSIM-profil kan avskjære SMS, som inkluderer bankens 2FA-koder. Skann bare eSIM-QR-koder fra din faktiske mobiloperatør.

Slik fungerer eSIM-aktiverings-QR-koder →

Smart­hjem og IoT

Matter onboarding

MT:-prefiks base38 pakket-binær kode fra Connectivity Standards Alliance. Inneholder leverandør-ID, produkt-ID, diskriminator, 8-sifret oppsetts­kode og oppdag­elses­evner (BLE, IP).

Vi viser: leverandør-ID, produkt-ID, diskriminator, 8-sifret oppsetts­kode (maskert), tilpasset flyt­flagg, oppdagelses­evner.

Fullstendig Matter-guide →

Apple HomeKit (X-HM://)

Apple HAP-tilbehørs­oppsett-URI. Forhåndsdaterer Matter; leveres fortsatt på mange tilbehør og vil forbli i bruk i lang tid. Vi viser oppsettskode, kategori, flagg, BLE-kringkastingsnøkkel.

Wi-Fi Easy Connect (DPP)

Wi-Fi Alliance Device Provisioning Protocol, den moderne erstatningen for WPS. Brukt i 2025-tids­rutere og IoT-enheter. Vi viser nettverksrolle, kanal, MAC, bootstrapping-nøkkel­fingeravtrykk.

Bluetooth Auracast (BAU v1.0)

Bluetooth SIG sitt QR-oppsett for LE Audio-kringkastinger. Tjeneste-UUID 184F identifiserer Auracast; vi viser sendingsnavnet (base64-dekodet) og krypteringstilstanden.

Krypto og Lightning

Bitcoin (BIP-21)

Standard Bitcoin-betalings-URI. Vi viser adresse, beløp (med BTC/sat-enhet), etikett, melding, PayJoin-endepunkt (pj=), BIP-72-betalingsforespørsels-URL (r=), obligatoriske (req-*)-parametere, Lightning-fallback.

Ethereum (EIP-681)

Ethereum-betalingsforespørsel-URI med kjedevalg. Vi dekoder mottaker vs. kontrakt, funksjonskall vs. enkel overføring, kjede-ID, beløp, token-kontrakt.

Advarsel: et kontraktkall er ikke det samme som en enkel overføring. Lommebøkene dine bør vise deg funksjonsnavnet og parametrene; godkjenn aldri noe du ikke forstår.

WalletConnect (ERC-1328)

dApp↔lommebok-paring-URI. Vi viser versjon (v2 er gjeldende; v1 er utdatert og svakere), emne, URL for reléserver, symmetrisk nøkkelfingeravtrykk.

Solana Pay

Solana Foundation sin overførings­forespørsels-URI. Vi viser mottaker, beløp, SPL-token­mynt, etikett, referanse, melding.

Lightning Network (BOLT-12, LNURL)

BOLT-12-tilbud (lno1…) er gjenbrukbare Lightning-betalingsforespørsler. LNURL (lnurl1…) koder en HTTPS-URL i bech32. BOLT-11-fakturaer (lnbc…/lntb…) er engangs­betalings­forespørsler. Vi viser alle tre.

Cashu ecash

Innehaverbasert ecash-token. Skiller seg fra alle andre kryptoformater fordi QR-koden bokstavelig talt ER pengene – hvem som helst som fotograferer den kan bruke dem.

Sensitiv som standard: token-strengen er maskert; resultatet advarer tydelig om at QR-koden inneholder ubrukt verdi.

Nostr (NIP-19)

Bech32-kodede Nostr-identifikatorer. Vi gjenkjenner npub (offentlig nøkkel), nsec (privat nøkkel), note (hendelse-ID), nprofile, nevent, naddr, nrelay.

nsec sensitiv: en Nostr privatnøkkel i en QR-kode betyr at innehaverens konto er i fare. Vi flaggerer dette som farlig og maskerer nøkkelinnholdet.

Industri og regulering

GS1 Digital Link

Standarden som vil erstatte 1D-strekkoder for forbrukerprodukter. Applikasjonsidentifikatorer (AI) kodet i URL-bane­segmenter: /01/ GTIN, /10/ parti, /17/ utløpsdato, /21/ serienummer og mange flere.

Vi viser: GTIN (01), parti/lot (10), produksjonsdato (11), best-før-dato (15), utløpsdato (17), serienummer (21), og alle andre AI-er til stede; flagg­er kombinasjoner som tyder på forfalskning.

Slik lager du GS1 Digital Link →

EU Digital Product Passport

EU-forordningen krever at hvert forbrukerprodukt skal bære et digitalt pass (bærekraft, opprinnelse, reparasjonsinformasjon) fra og med 2027. Bygget på GS1 Digital Link-URL-er som leder til produktspesifikke passsider.

QR-koden dekodes i dag via vår GS1 Digital Link-analysator; passinnholdet utover URL-en publiseres av den respektive produsenten.

Fullstendig oversikt + hva som er i et pass →

VPN og utviklerkredentialer

WireGuard config

INI-format WireGuard VPN-konfigurasjon. Vi viser grensesnitt­adresse, DNS, lytteport, jevnaldrende endepunkt, tillatte IP-er, persistent keepalive.

Sensitiv som standard: grensesnittets private nøkkel og forhåndsdelt nøkkel vises som trykk-for-å-avsløre.

SSH public key

OpenSSH autoriserte nøkler-format (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Vi viser algoritme, kommentar, og nøkkelfingeravtrykk (aldri rå nøkkelbytes).

X.509 certificate / JWT

PEM-pansrede X.509-sertifikater og rå JWT kompakt serialisering. Vi DER-går igjennom sertifikatet for å hente Subject CN / SAN, gyldighets­periode, utsteders DN, algoritme, nøkkel­bruk.

JWT personvern: vi viser alg + typ fra overskriften, men dekoder ALDRI JWT-nyttelasten siden den kan inneholde PII eller token­hemmeligheter.

PGP key block

OpenPGP OFFENTLIG / PRIVAT NØKKELBLOKK. Vi viser kun format; nøkkelmateriell er maskert. PRIVAT NØKKELBLOKK utløser høy risikoadvarsel.

Symbologier vi dekoder (den visuelle koden selv)

En symbologi er *beholderen*, formen på prikker og firkanter. Standardene ovenfor er *innholdet* i beholderen. De fleste QR-koder er Modell 2 QR, men vi skanner også Aztec, Data Matrix, PDF417 og lineære strekkoder.

QR Code (ISO/IEC 18004)

Modell 1 (1994-original), Modell 2 (den gjeldende globale standarden), Mikro-QR (små komponenter) og rektangulær Mikro-QR (rMQR). Korreks­jonsnivåene L/M/Q/H bestemmer gjenopprettings­robusthet.

Aztec Code (ISO/IEC 24778)

Aztec-symbologien med bulls-eye-søkeren som brukes på Eurostar, SBB og mange europeiske bussholdeplasser og togbilletter.

Mer om Aztec →

Data Matrix (ISO/IEC 16022)

Tett symbologi i lite format. Brukes av GS1 i detaljhandelen, DSCSA i legemidler, MIL-STD-130 i forsvar, ATA Spec 2000 i luftfart og ISBT 128 for merking av blodprodukter.

Mer om Data Matrix →

PDF417 (ISO/IEC 15438)

Stablet lineær symbologi brukt på US/CA-førerkort (AAMVA), fraktetiketter og FedEx-luftfraktsedler. Vi gjenkjenner PDF417 i bildet og ruter til relevant analysator basert på innholdet.

Mer om PDF417 →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF – de lineære strekkodene du ser i enhver dagligvarebutikk og på ethvert fraktetikett.

Hvorfor dette er viktig

Sikkerheten til en QR-kode er ikke sikkerheten til URL-en, det er sikkerheten til standarden som styrer hva som er inni. En betaling-QR og en passord-QR ser identiske ut for skanneren din, men den ene er utformet for å være enveis; den andre fullfører en autentisering.

Hver analysator ovenfor er åpen om hva den viser og hva den bevisst maskerer, slik at du kan verifisere at vi gjør jobben riktig.

Se full dekning → Prøv skanneren →