What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Standarder · IATA strekkode-boardingkort

Hva er kodet i en boardingkort-strekkode?

Nesten alt et flyselskap vet om reisen din. 2D-strekkoden (QR, Aztec eller PDF417) på boardingkortet ditt inneholder ditt fulle navn, din seks- eller syvtegns bestillingsreferanse, flyselskap og flynummer, rute, avreisedato, sete, kabinklasse, innsjekkingssekvens og eventuelle bonusprogram-nummer på fil. Til sammen er navnet ditt pluss den bestillingsreferansen nok til å logge inn på flyselskapet nettsted og få tilgang til bestillingen – og det er grunnen til at et offentliggjort foto av et boardingkort utgjør en reell sikkerhetsrisiko.

Verifiser boardingkortet ditt → Alle standarder →

Hva er formatet

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

Beholderen er symbologi-fleksibel – de fleste flyselskaper bruker QR-koder i dag, europeiske høyhastighetstog og SBB bruker Aztec, og noen eldre flyselskaper sender fortsatt PDF417. Den kodede TEKSTEN er identisk på tvers av alle tre; bare den visuelle kodingen er forskjellig. Skanneren vår leser alle tre symbologier og bruker den samme dekoderen på den resulterende teksten.

Den obligatoriske delen av hvert boardingkort er nøyaktig 60 tegn: en 2-tegns topptekst (formatkode "M" + segmentantall) etterfulgt av 20 tegns passasjernavn, 1 tegns elektronisk billett-indikator og deretter 37 tegns segmentdata. Forbindelsessreiser legger til ytterligere 37 tegn per segment. Den betingede seksjonen (etter de obligatoriske 60) inneholder typisk bonusprogram-nummeret, takstgrunnlag, innsjekkingskilde (nett / kiosk / agent) og eventuelle sikkerhetsdata lagt til av flyselskapet.

Det fullstendige feltoppsettet

Topptekst (2 tegn)

Formatkode "M" + antall segmenter (1-4). En billett med mellomlanding, f.eks. SFO → JFK → LHR, har segmentantall 2 og inneholder to segmentposter etter hverandre.

Passasjernavn (20 tegn)

"ETTERNAVN/FORNAVN" venstrejustert, utfylt med mellomrom. Lange navn forkortes; navnet som er trykt på boardingkortet er alltid kilden til sannhet.

Elektronisk billett-indikator (1 tegn)

"E" for en elektronisk billett (alle moderne boardingkort) eller " " for en papirbillett (praktisk talt aldri sett).

Per segment (37 tegn per stk.)

PNR / reservasjonskode (7 tegn), bestillingsreferansen.
Avgangs- / ankomstlufthavner (3 tegn hver), IATA trebokstavskoder.
Flyselskap (3 tegn, venstrejustert), IATA-kode for opererende flyselskap.
Flynummer (5 tegn, nullutfylt).
Flydato (3 tegn), juliansk dag-i-år (f.eks. "250" = dag 250 = 7. september).
Kabinklasse (1 tegn), Y / W / J / F / osv. (bookingklasse).
Sete (4 tegn, nullutfylt).
Sekvensnummer (5 tegn, nullutfylt), din innsjekkingsrekkefølge.
Passasjerstatus (1 tegn), 1=bagasje påkrevd, 2=lounge-adgang, 3=bypass sikkerhetskontroll, F=ombord, G=gate-sjekket, osv.
Betinget lengde (2 hex-tegn), antall byte med betingede data etter dette segmentet.

Betinget seksjon (variabel)

Etter hvert segment et valgfritt avsnitt med flyselskapet egne tilleggsopplysninger: bonusprogram-nummer, takstgrunnlagskode, bagasjekvote, flyselskapsspesifikke sikkerhetsdata og noen sjeldnere felter. Bonusprogram-nummeret er den mest personvernsensitive opplysningen her – det er en vedvarende identifikator som knytter alle flyturene dine til én konto.

Sikkerhetsseksjon (variabel, valgfri)

Visse flyselskaper legger til en signatur slik at kortet kan verifiseres offline ved porten. Få håndhever dette. Signaturens tilstedeværelse endrer ikke innholdet i hoveddelen.

Hvorfor det er risikabelt å dele et foto av et boardingkort

Kombinasjonen av passasjernavn + PNR (den 7-tegns bestillingsreferansen) fungerer i praksis som et passord hos de fleste flyselskaper. Oppslag under "Administrer bestillingen min" godtar disse to feltene som identitetsbevis. Med dem kan en angriper:

Endre seteplasseringen din, eller flytte deg av flyet.
Kansellere en gratis oppgradering eller fjerne deg fra oppgraderingslisten.
Se kontaktopplysningene dine, inkludert telefonnummer og e-post knyttet til bestillingen.
Omdirigere bonusprogram-miles (hos visse flyselskaper, med ekstra trinn).
Se de andre reservasjonene dine hos det samme flyselskapet (hos visse flyselskaper).
Bygge en målrettet phishing-e-post – "Hei [ditt navn], United-flyvningen din 123 SFO → JFK den 7. september er endret, klikk her for å bekrefte" – som bruker ekte reisedetaljer. Mottakeren er langt mer tilbøyelig til å klikke enn på en generisk phishing-e-post.

Flere flyselskaper har reagert på tidligere hendelser ved å legge til flerfaktoridentitetsbevis i flyten for "administrer bestillingen min". Mange har ikke.

Angrepet med omdirigering av bonusprogram-miles er dokumentert flere ganger. Passasjerer som twitret eller la ut et foto av et boardingkort på Instagram, har mistet oppgraderinger, fått bestillinger endret og blitt utsatt for reisematchede phishing-forsøk innen timer.

Hva skanneren vår viser, og hvordan PNR maskeres

Synlig som standard

Passasjernavn (for- og etternavn), flyselskap + flynummer (null fjernet, f.eks. "AA123"), rute (SFO → JFK), dato i ISO-format (juliansk dag konvertert med smart årsrullefremover), sete (null fjernet, f.eks. "12A"), kabinklasse, sekvensnummer, status (med menneskelig etikett, "Ombord", "Lounge-adgang" osv.). Billetter med mellomlanding får per-segment-radmerker.

Sensitiv (trykk for å avsløre)

PNR-en maskeres bak den samme trykk-for-å-avsløre-komponenten vi bruker for passord og 2FA-hemmeligheter. Et skjermbilde av resultatet uten å trykke på avsløringsnappen lekker ikke bestillingsreferansen. Bonusprogram-nummeret – når det er til stede i den betingede seksjonen – ekstraheres ikke av serveranalysatoren i det hele tatt; det er en stabil identifikator som knytter flere reiser, og å vise det på en resultatside ville undergrave personvernholdningen.

Verifiserer ditt eget boardingkort

Tre legitime grunner til at folk skanner sitt eget:

Bekreft at dataene er korrekte etter en ny utstedelse. Flyselskaper gjør av og til skrivefeil i sete- eller flynummer.
Sjekk oppgraderingen eller statusen portpersonalet fortalte deg om – passasjerstatus-byten er kilden til sannhet.
Gjenfinne en bortkommet PNR når du ikke lenger har bekreftelse-e-posten for bestillingen, men fortsatt har et skjermbilde av kortet.

Skanneren kjører i nettleseren din; bare den dekodede teksten når serveren vår (ikke bildet). Resultatet maskerer PNR som standard. Hvis du tar et skjermbilde av resultatet for registreringene dine, forblir PNR maskert med mindre du aktivt avslører det før skjermbildet.

Relatert

Prøv det på boardingkortet ditt

Fotografer strekkoden (eller bruk kameraet på skannersiden) og slipp det inn. Resultatet viser hvert segment av reisen din med PNR maskert.

Åpne skanner →