Standarder

Varje QR-standard vi stöder

En QR-kod är en behållare. Innehållet kan vara en betalning, ett vaccinationsintyg, ett körkort, ett eSIM, en lösenordsnyckelinloggning eller en smarthemkoppling – var och en styrd av sin egen internationella standard, med sin egen hotmodell. Detta är den auktoritativa referensen för varje standard som vår skanner identifierar, vad som faktiskt finns inuti när du skannar och exakt vad vi visar kontra avsiktligt maskerar.

Prova skannern → Se full täckning →

Betalningsstandarder

Varje QR du skannat för att betala en handlare de senaste fem åren bygger på EMVCo:s merchant-presented QR-specifikation.

EMVCo MPM / CPM

Basstandarden för alla handlarpresenterade QR-betalningar globalt. Tag-Length-Value-ramar med handlarnamn, stad, land, valuta, belopp, mottagarens kontoinformation och en CRC-16/CCITT-FALSE-kontrollsumma.

Vi visar: handlarnamn, stad, land, ISO 4217-valuta (fullständig tabell, 169 koder), MCC-kategori, belopp, dynamisk kontra statisk, dricksindikator, underfält för ytterligare data (referensetikett, fakturanummer, kundetikett, terminaletikett, syfte).

Hotbedömning: ogiltig CRC → misstänkt (QR:en har ändrats eller skadats, den mest tillförlitliga signalen för klistermärkesbyten).

Djupdykning i klistermärkesbyten → · Generatorreferens →

Pix (Brazil)

Braziliens momentana betalningssystem. Statiska och dynamiska PIX-nyttolaster identifieras och valideras via EMV-CRC-kontroll.

Vi visar: mottagarens Pix-nyckel (CPF / CNPJ / e-post / telefon / EVP), belopp, beskrivning.

Hur man skapar en →

UPI (India)

Indiens Unified Payments Interface, störst per användarantal. UPI Virtual Payment Address (VPA) identifieras och valideras.

Vi visar: betalningsmottagarens VPA, betalningsmottagarens namn, belopp, valuta, transaktions-ID, notering.

Hur man skapar en →

Swiss QR-bill

ISO 20022 SPC v2.2, inte EMVCo. Ersätter den orange/röda schweiziska betalningsslipen. 33 rader med fast datastruktur.

Vi visar: betalningsmottagarens IBAN, fullständig adress, slutlig gäldenärs-ID, belopp, valuta, referens och ytterligare information.

Hur man skapar en →

EPC Girocode (SEPA)

European Payments Council-QR för kreditöverföring. Används i stor utsträckning i Tyskland, Österrike, Nederländerna och Norden för fakturabetalningar.

Vi visar: stödmottagarens namn, IBAN, BIC, belopp, referensinformation, syfteskod.

Hur man skapar en →

ZATCA Fatoora (Saudi Arabia)

Kryptografiskt signerad fakturering, obligatorisk vid varje kommersiell transaktion i Saudiarabien.

Vi visar: säljarens namn, momsregistreringsnummer, ISO 8601-tidsstämpel, fakturatotal, momstotal, QR-hash.

Hur man skapar en →

Och många fler: vi identifierar nationella betalningssystem för 54 länder.

Hälsointyg

Vaccinationsregister, recept, labbresultat och resecertifikat. Kryptografiskt signerade av nationella hälsomyndigheter. Vi identifierar intyget och visar utfärdare och typ, men avkodar aldrig avsiktligt patientens namn, födelsedag eller medicinsk historik. Din plånboksapp är rätt plats att visa dessa.

SMART Health Cards

SMART Health Cards: base64url-kodad JSON Web Token med deflate-komprimerat FHIR-buntnyttolast. Signerad av utfärdande hälsoorganisation.

Vi visar: utfärdare (iss), giltighets-URL, nbf-tidsstämpel, FHIR-resurskind och vaccinationsmålskod. Inget patientnamn, inga specifika dosdatum.

Vi avkodar aldrig: patientnamn, födelsedag, vaccination/testdetaljer. Verifierad av test.

EU Digital COVID Certificate (HC1)

HC1:-prefixet omsluter en base45 → DEFLATE → COSE_Sign1 → CBOR → CWT-kedja som avslutas med ett EU-definierat HCERT-krav. Används fortfarande för icke-COVID-resedokument i vissa medlemsstater efter att COVID-nödläget avslutades.

Vi visar: utfärdande land (ISO 3166-1), utfärdat-från-och-med-tidsstämpel, utgångstidsstämpel, schemaversion, intygstyp (vaccination / test / återhämtning), målsjukdom (SNOMED-CT, "COVID-19" visas, inte den råa koden 840539006), vaccinationsland/testland, utfärdande organisation, dosnummer/totalt antal, testtyp, testresultat.

Vi avkodar aldrig: patientnamn, personnummer, dosdatum, unikt certifikat-ID (UVCI). Testgated.

Identitets- och resedokument

Körkort, resehandlingar, nationella ID-kort och EU:s digitala identitetsplånbok. Vi visar vad som är inkodat och varnar när ett okänt format utger sig för att vara ett officiellt ID.

AAMVA driver license

PDF417-streckkoden på baksidan av varje körkort i USA och Kanada. Delfilselement formaterade enligt AAMVA Card Design Standard, bilaga D.12.5.

Vi visar (~17 fält): för-, mitten- och efternamn, personnummer i ISO-format, kön, längd, ögonfärg, körkortsnummer (maskerat), körkortsklass, restriktioner, påskrifter, utgångsdatum, utfärdandedatum, fullständig adress, land, organdonatorsflagga, veteranflagga samt tröskel för under-21-till.

Känslig som standard: körkortsnummer + personnummer visas som dold text som kräver tryck för att avslöjas, så att en skärmdump av utslaget inte i sig är en identitetsläcka. Integritetsvarnigen påpekar att barer och klubbar som skannar ID-handlingar tar emot ALL denna data, inte bara innehavarens ålder.

Fullständig anatomi → · Generatorreferens →

Mobile Driver License (ISO 18013-5)

ISO/IEC 18013-5 mobilt körkort. Strukturerat CBOR med namnrymden "org.iso.18013.5.1" som innehåller fältet family_name, given_name, birth_date, document_number, driving_privileges, issue_date, expiry_date, issuing_country.

Vi visar: familjenamn, förnamn, födelsedag (maskerat), dokumentnummer (maskerat), utfärdandeland/delstat, utfärdandedatum, utgångsdatum, åldersbekräftelsefält (age_over_21 etc.) och körkortsprivilegier.

Vi avkodar aldrig: innehavarens tillfälliga offentliga nyckel (visas som längd enbart). Verifierad av test.

Fullständig mDL-guide →

EU Digital ID Wallet (eIDAS 2.0)

OpenID4VP och eudi-openid4vp-scheman för gränsöverskridande identitetsverifiering. Lanseringar i medlemsstaterna ökar under 2024-2026.

Vi visar: protokollfamilj (openid4vp / eudi-openid4vp / mdoc-openid4vp / siopv2), client_id, response_uri-värdnamn, request_uri-värdnamn för flöden med signerade förfrågningar, response_mode.

DID URIs

Decentraliserade identifierare: did:web, did:key, did:ion, did:ebsi och andra metoder.

Vi visar: DID-metod, metodspecifik identifierare, tjänsteparameter, relativ referens, verifieringsfragment.

Autentisering och lösenordsnycklar

QR-inloggningsflödena som skyddar (eller äventyrar) alla dina konton. Vi identifierar varje typ och varnar tydligt när en QR ber dig slutföra någon annans inloggning istället för din egen.

FIDO CTAP 2.2 hybrid

QR:en för enhetsöverskridande lösenordsnyckel som din dator visar när du loggar in med en lösenordsnyckel på din telefon. Base10-kodad CBOR-karta med peer public key, QR-hemlighet, operationshint, tunnel-serverdomän, tidsstämpel och tillståndsstödsflagga.

Vi visar: operation (make-credential / get-assertion / discoverable), tunnel-serverdomän (t.ex. cable.ua5v.com), ISO-tidsstämpel, stöder tillståndsassistans, peer-pubkey-längd, QR-hemlighetslängd.

Stark varning: att skanna denna QR slutför en inloggning som någon PÅBÖRJAT PÅ EN ANNAN ENHET. Om du inte nyss initierat en lösenordsnyckelinloggning själv – avvisa, annars loggar du in den som genererade denna QR i ditt konto.

Läs: bör jag skanna denna QR för lösenordsnyckelinloggning? →

HOTP / TOTP (2FA setup)

RFC 4226/RFC 6238 engångslösenords-QR:er. Den otpauth://-URI din bank eller ditt konto ger dig för att konfigurera din autentiseringsapp.

Vi visar: utfärdare, konto, algoritm (SHA1 / SHA256 / SHA512), siffror, period/räknare. Hemligheten är maskerad.

Känslig som standard: Base32-hemligheten visas maskerad tills man trycker på fältet.

TOTP → · HOTP →

Authenticator export (otpauth-migration)

Google Authenticator-massexport-QR:en. Bär varje 2FA-hemlighet i autentiserings-appen i en enda QR.

Vi visar (per post): utfärdare, konto, typ (HOTP / TOTP), algoritm, siffror. Hemligheten är inte synlig.

Vi avkodar aldrig: de faktiska hemliga seedbytarna. Verifierad av test.

Stark varning: hotklassen är sannolikt farlig om användaren inte initierade exporten själv.

Fullständig anatomi och säkerhetsguide →

Sign-In with Ethereum (SIWE / EIP-4361)

Klartextinloggningsmeddelandet din plånbok signerar för att bevisa kontrollen över en plånboksadress (Ethereum, Solana, osv.).

Vi visar: webbplatsdomän, plånboksadress, kedje-ID, nonce, utgångstid, utfärdad-vid, satsnings-URI.

Varning: läs webbplatsen och påståendet noggrant – en skadlig webbplats kan begära en signatur som ger behörighet till tillgångar.

Resor och biljetter

IATA boarding pass (Resolution 792)

QR/Aztec/PDF417 på ditt flygbordkort. Fast bredd på rubriken (60 tecken) plus 37 tecken obligatorisk data per segment.

Vi visar (per segment): flygbolagskod + flygnummer (utan inledande nollor), rutt (FRÅN → TILL), datum (Juliansk dag → ISO med smart årsberäkning framåt), sätesnummer, kabinklass, sekvensnummer, status (Ombordstigen / Lounge-tillgång / Säkerhetskontroll kringgången / m.m.). Flersegmentskort får prefix per segment.

Känslig som standard: PNR/bokningsreferens visas dold tills man trycker; ditt namn plus PNR räcker för att komma åt bokningen på de flesta flygbolags webbplatser. Publicera inte foton av ditt boardingkort offentligt.

Fullständig fält-för-fält-guide →

eSIM activation (GSMA SGP.22)

The QR you scan to install a phone plan. Format: LPA:1$<SM-DP+>$<AC-Token>[$<SM-DP+ OID>][$<CC required>].

Vi visar: SM-DP+ FQDN (operatörens server som kommunicerar med din telefon), aktiveringskod, flagga för om bekräftelsekod krävs.

Varning: en installerad eSIM-profil kan fånga upp SMS, inklusive SMS-baserade 2FA-koder. Kontrollera att SM-DP+ matchar din verkliga operatör (Airalo, Saily, Truphone, Google Fi, osv.) mot en godkänd lista innan installation.

Hur aktiverings-QR:er för eSIM fungerar →

IoT, eSIM och nätverk

Matter onboarding

MT:-prefixad base38-packat binärkod från Connectivity Standards Alliance.

Vi visar: leverantörs-ID, produkt-ID, diskriminator, 8-siffrig inställnings-PIN (maskerad), anpassat flöde, identifieringsfunktioner.

Fullständig Matter-guide →

Apple HomeKit (X-HM://)

Apple HAP-tillbehörskonfigurerings-URI. Föregår Matter; levereras fortfarande på många tillbehör som inte uppgraderat till Matter.

Wi-Fi Easy Connect (DPP)

Wi-Fi Alliance Device Provisioning Protocol, den moderna ersättaren för WPS. Används för att parla IoT-enheter utan att skriva in lösenord.

Bluetooth Auracast (BAU v1.0)

Bluetooth SIG:s QR-schema för LE Audio-sändningar. Tjänst-UUID 184F identifierar Auracast; vi visar sändningsnamnet (base64-avkodat) och krypteringstillståndet.

Krypto och Lightning

Bitcoin (BIP-21)

Standard Bitcoin-betalnings-URI. Vi visar adress, belopp (med BTC/sat-enhet), etikett, meddelande, PayJoin-slutpunkt (pj=), BIP-72-betalningsförfrågan-URL (r=), obligatoriska (req-*)-parametrar, Lightning-återfall.

Ethereum (EIP-681)

Ethereum-betalningsförfrågan-URI med kedjevals. Vi avkodar mottagare kontra kontrakt, kedje-ID med läsbar etikett (Ethereum mainnet, Optimism, Polygon, Base, Arbitrum, BNB Chain, Gnosis, Avalanche, Sepolia), värde (wei → ETH/Gwei läsbart format), funktionsnamn, ERC-20-överföringsargument.

Varning: ett kontraktsanrop är inte detsamma som en enkel betalning – plånbokstömmande program förlitar sig på att användare inte märker skillnaden.

WalletConnect (ERC-1328)

DApp–plånbok-parkopplings-URI. Vi visar version (v2 är aktuell; v1 är föråldrad), ämne, relä-URL och namnrymder.

Solana Pay

Solana Foundations överföringsförfrågan-URI. Vi visar mottagare, belopp, SPL-token-mint, referens och etikett.

Lightning Network (BOLT-12, LNURL)

BOLT 11 Lightning-faktura. Vi avkodar belopp (msats → sats/BTC), tidsstämpel, betalningshash-prefix, utgångstid, nod-ID, kanalhint, fallback-kedjeadress och beskrivning.

Cashu ecash

Innehavarbaserad ecash-token. Skiljer sig från alla andra kryptoformat eftersom QR:en bokstavligen ÄR pengarna – vem som helst som fotograferar den kan spendera dem.

Känslig som standard: token-strängen är maskerad; utslaget varnar tydligt att QR:en innehåller ej spenderat värde.

Nostr (NIP-19)

Bech32-kodade Nostr-enheter: pubkeys (npub), privata nycklar (nsec), händelse-ID:n (note), profiler (nprofile), händelser (nevent), adresser (naddr), relälistor (nrelay).

nsec känslig: en Nostr privat nyckel i en QR-kod innebär att innehavarens identitet exponeras för alla som ser den.

Industri och reglering

GS1 Digital Link

Standarden som kommer att ersätta 1D-streckkoder för konsumentprodukter. Applikationsidentifierare i URL-sökvägen kodar GTIN, batch/lot, tillverknings-/utgångsdatum, serienummer med mera.

Vi visar: GTIN (01), batch/lot (10), tillverkningsdatum (11), bäst-före (15), utgångsdatum (17), serienummer (21) och ytterligare AI:er som namngivna fält.

Hur man skapar GS1 Digital Link →

EU Digital Product Passport

EU-förordningen kräver att varje konsumentprodukt ska bära ett digitalt pass (hållbarhet, ursprung, reparationsinformation) från och med 2027. Byggt på GS1 Digital Link-URL:er som leder till produktspecifika passsidor.

QR:en avkodas idag via vår GS1 Digital Link-analysator; passinnehållet utöver URL:en publiceras av respektive tillverkare.

Fullständig översikt + vad som ingår i ett pass →

VPN och utvecklaruppgifter

WireGuard config

INI-format WireGuard VPN-konfiguration. Vi visar gränssnittets adress, DNS, lyssnarport och peer-konfigurationer.

Känslig som standard: gränssnittets privata nyckel och delad nyckel maskeras.

SSH public key

OpenSSH authorized_keys-format (ssh-ed25519 / ssh-rsa / ssh-ecdsa). Vi visar algoritm och nyckelkommentar.

X.509 certificate / JWT

PEM-kodade X.509-certifikat och kompakta JWT-serialiseringar. Vi genomsöker cert-fälten och visar utfärdare, ämne, SANs, giltighetstider och fingeravtryck.

JWT-integritet: vi visar alg + typ från rubriken men AVKODAR ALDRIG nyttolastens krav.

PGP key block

OpenPGP PUBLIC / PRIVATE KEY-block. Vi visar enbart format; nyckelmaterialet visas inte.

Symbologier vi avkodar (den visuella koden själv)

En symbologi är *behållaren* – formen av punkter och rutor. Standarderna ovan definierar vad som lagras inuti.

QR Code (ISO/IEC 18004)

Modell 1 (1994 original), Modell 2 (nuvarande global standard), Micro QR (litet format, upp till 35 tecken), rMQR (rektangulärt Micro QR för etiketter och förpackningar).

Aztec Code (ISO/IEC 24778)

Aztec-symbologin med bulls-eye-sökaren som används på Eurostar, SBB och många europeiska busskort och tågbiljetter.

Mer om Aztec →

Data Matrix (ISO/IEC 16022)

Tät symbologi i litet format. Används av GS1 inom detaljhandeln, DSCSA inom läkemedel, MIL-STD-130 inom försvar, ATA Spec 2000 inom luftfart och ISBT 128 för märkning av blodprodukter.

Mer om Data Matrix →

PDF417 (ISO/IEC 15438)

Staplad linjär symbologi som används på US/CA-körkort (AAMVA), fraktetiketter, boarding-pass (BCBP) och läkemedelsförpackningar.

Mer om PDF417 →

1-D barcodes

EAN-13, EAN-8, UPC-A, UPC-E, Code 128, Code 39, Code 93, Codabar, ITF – de linjära streckkoderna du ser i varje livsmedelsbutik och på varje fraktetikett.

Varför det spelar roll

En QR-kods säkerhet är inte säkerheten hos dess URL – det är säkerheten hos den standard som styr nyttolasttypen.

Varje analysator ovan är öppen med vad den visar och vad den avsiktligt maskerar.

Se full täckning → Prova skannern →