What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

Standarder · IATA streckkodade boardingkort

Vad kodas i en boardingkort-streckkod?

Nästan allt ett flygbolag vet om din resa. Den tvådimensionella streckkoden (QR, Aztec eller PDF417) på ditt boardingkort innehåller ditt fullständiga namn, din sex- eller sju-teckens bokningsreferens, flygbolag och flygnummer, rutt, avgiftsdatum, säte, kabinklass, incheckningsnummer och eventuellt frequent-flyernummer. Tillsammans räcker ditt namn plus den bokningsreferensen för att logga in på flygbolagets webbplats och komma åt din bokning — därför är ett foto av ett offentligt publicerat boardingkort en verklig säkerhetsrisk.

Verifiera ditt boardingkort → Alla standarder →

Vilket format används

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

Behållaren är symbologiflexibel — de flesta flygbolag använder numera QR-koder, europeiska höghastighetståg och SBB använder Aztec, och några äldre flygbolag skickar fortfarande PDF417. Den kodade TEXTEN är identisk i alla tre; bara den visuella kodningen skiljer sig. Vår skanner läser alla tre symbologier och tillämpar samma avkodare på den resulterande texten.

Den obligatoriska delen av varje boardingkort är exakt 60 tecken: ett 2-teckens huvud (formatkod ”M” + segmentantal) följt av 20 tecken med passagerarens namn, 1 tecken för e-biljettindikator och därefter 37 tecken med segmentdata. Flersegmentsanslutningar lägger till ytterligare 37 tecken per segment. Den villkorliga sektionen (efter de obligatoriska 60) innehåller typiskt frequent-flyernummer, tariffkod, källa för incheckning (webb/kiosk/agent) och eventuell säkerhetsdata som flygbolaget lagt till.

Den fullständiga fältlayouten

Huvud (2 tecken)

Formatkod ”M” + antal segment (1–4). En flersegmentsbiljett, t.ex. SFO → JFK → LHR, har segmentantal 2 och innehåller två segmentposter i följd.

Passagerarnamn (20 tecken)

”EFTERNAMN/FÖRNAMN” vänsterställt, utfyllt med mellanslag. Långa namn trunkeras; namnet på boardingkortet är alltid källan till sanning.

Indikator för e-biljett (1 tecken)

”E” för ett elektroniskt biljett (alla moderna kort) eller ” ” för en pappersbiljett (praktiskt taget aldrig).

Per segment (37 tecken vardera)

PNR / bokningsreferens (7 tecken), bokningsreferensnumret.
Från/till flygplatser (3 tecken vardera), IATAs trelittersbeteckningar.
Flygbolag (3 tecken, vänsterställt), det utförande flygbolagets IATA-kod.
Flygnummer (5 tecken, nolluttökt).
Flygdatum (3 tecken), juliansk dag på året (t.ex. ”250” = dag 250 = 7 september).
Klass (1 tecken), Y / W / J / F / osv. (bokningsklass).
Säte (4 tecken, nolluttökt).
Sekvensnummer (5 tecken, nolluttökt), din incheckningsordning.
Passagerarstatus (1 tecken), 1=bagage krävs, 2=loungetillgång, 3=säkerhetspassage, F=ombordstigen, G=gate-incheckad, osv.
Villkorlig längd (2 hex-tecken), antal byte med villkorlig data efter detta segment.

Villkorlig sektion (variabel)

Efter varje segment följer ett valfritt block med flygbolagsspecifika tillägg: frequent-flyernummer, tariffkod, bagageänställning, flygbolagsspecifik säkerhetsdata och några mindre vanliga fält. Frequent-flyernumret är det mest integritetskänsliga fältet här — det är en långlivad identifierare som knyter varje flyg du gjort till ett enda konto.

Säkerhetssektion (variabel, valfri)

Vissa flygbolag lägger till en signatur så att kortet kan verifieras offline vid grinden. Få upprhäller det kravet. Signaturen påverkar inte innehållet i själva kroppen.

Varför det är riskabelt att publicera ett foto av ett boardingkort

Kombinationen av passagerarnamn + PNR (den 7-tecken långa bokningsreferensen) fungerar i praktiken som ett lösenord hos de flesta flygbolag. Sökningar med ”Hantera min bokning” accepterar dessa två fält som identitetsbevis. Med dem kan en angripare:

Byta ditt sättesbyte, eller flytta dig från flyget.
Avbryta en gratis uppgradering eller flytta dig från uppgraderingskön.
Se dina kontaktuppgifter, inklusive telefonnummer och e-post i bokningen.
Omdirigera frequent-flyerpokulster (vissa flygbolag, med extra steg).
Se dina övriga reservationer hos samma flygbolag (vissa flygbolag).
Bygga ett riktat phishing-e-brev, ”Hej [ditt namn], ditt United-flyg 123 SFO → JFK den 7 sep har bokats om, klicka här för att bekräfta” — som använder verkliga reseuppgifter. Mottagaren är mycket mer benägen att klicka än på ett generiskt phishing-e-brev.

Flera flygbolag har reagerat på tidigare händelser genom att lägga till multifaktoridentitetsbevis i flödet för ”Hantera min bokning”. Många har inte gjort det.

Attacken för omdirigering av pokulster har dokumenterats många gånger. Passagerare som lade upp foton av boardingkort på Twitter eller Instagram har förlorat uppgraderingar, fått bokningar flyttade och drabbats av itinerariumanpassad phishing inom timmar.

Vad vår skanner visar, och hur PNR maskeras

Synlig som standard

Passagerarens namn (förnamn efternamn), flygbolag + flygnummer (nollborttaget, t.ex. ”AA123”), rutt (SFO → JFK), datum i ISO-format (juliansk dag utökad med smart årsframrullning), säte (nollborttaget, t.ex. ”12A”), kabinklass, sekvensnummer, status (med mänsklig etikett, ”Ombordstigen”, ”Loungertillgång”, osv.). Flersegmentspass får per-segment-radetiketter.

Känslig (tryck för att avslöja)

PNR maskeras bakom samma tryck-för-avslöjande-komponent som vi använder för lösenord och 2FA-hemligheter. En skärmbild av utslåget utan att trycka på avslöja-knappen läcker inte bokningsreferensen. Frequent-flyernumret, när det finns i den villkorliga sektionen, extraheras överhuvudtaget inte av serveranalysatorn — det är en stabil identifierare som knyter flera resor samman, och att visa det på en utslågssida skulle underminera integritetspositionen.

Verifiera ditt eget boardingkort

Tre legitima skäl till att människor skannar sina egna:

Bekräfta att datan är korrekt efter en omutfärdning. Flygbolag gör ibland stavfel på ett säte eller flygnummer.
Kontrollera uppgraderingen eller statusen som gate-agenten berättade om — passagerarstatusbyte är källan till sanning.
Återfinna en borttappad PNR när du inte längre har bokningsbkräftelsemeddelandet men fortfarande har en skärmbild av kortet.

Skannern körs i din webbläsare; bara den avkodade texten når vår server (inte bilden). Utslåget maskerar PNR som standard. Om du tar en skärmbild av utslåget för dina anteckningar förblir PNR maskerat såvida du inte uttryckligen avslöjar det före skärmbilden.

Relaterat

Prova med ditt boardingkort

Fotografera streckkoden (eller använd kameran på skanningssidan) och ladda upp den. Utslåget visar varje segment av din resa med PNR maskerat.

Öppna skannern →