What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

มาตรฐาน · บัตรผ่านขึ้นเครื่องแบบบาร์โค้ดของ IATA

ข้อมูลอะไรซ่อนอยู่ในบาร์โค้ดบัตรผ่านขึ้นเครื่อง?

เกือบทุกอย่างที่สายการบินรู้เกี่ยวกับการเดินทางของคุณ บาร์โค้ด 2 มิติ (QR, Aztec หรือ PDF417) บนบัตรผ่านขึ้นเครื่องมีชื่อเต็ม รหัสการจอง 6-7 ตัวอักษร สายการบินและหมายเลขเที่ยวบิน เส้นทาง วันที่ออกเดินทาง ที่นั่ง ชั้นโดยสาร ลำดับการเช็คอิน และหมายเลข frequent-flyer หากมี ชื่อบวกรหัสการจองนั้นเพียงพอสำหรับล็อกอินเว็บไซต์ของสายการบินและเข้าถึงการจองของคุณ นั่นคือเหตุผลที่การโพสต์รูปบัตรผ่านในที่สาธารณะเป็นความเสี่ยงด้านความปลอดภัยจริงๆ

ตรวจสอบบัตรผ่านขึ้นเครื่องของคุณ → มาตรฐานทั้งหมด →

รูปแบบคืออะไร

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

คอนเทนเนอร์รองรับสัญลักษณ์หลายชนิด สายการบินส่วนใหญ่ใช้ QR ในปัจจุบัน รถไฟความเร็วสูงยุโรปและ SBB ใช้ Aztec และสายการบินรุ่นเก่าบางแห่งยังใช้ PDF417 ข้อความที่เข้ารหัสเหมือนกันทุกชนิด ต่างกันแค่การเข้ารหัสภาพ เครื่องสแกนของเราอ่านทั้งสามแบบและใช้ตัวถอดรหัสเดียวกันกับข้อความที่ได้

ส่วนบังคับของบัตรผ่านทุกใบมีความยาว 60 ตัวอักษร: ส่วนหัว 2 ตัวอักษร (รหัสรูปแบบ "M" + จำนวน segment) ตามด้วยชื่อผู้โดยสาร 20 ตัวอักษร ตัวบ่งชี้ตั๋วอิเล็กทรอนิกส์ 1 ตัวอักษร แล้วข้อมูล segment 37 ตัวอักษร การเดินทางหลาย segment จะเพิ่มอีก 37 ตัวอักษรต่อ segment ส่วนข้อมูลเงื่อนไข (หลัง 60 ตัวอักษรบังคับ) มักมีหมายเลข frequent-flyer รหัสค่าโดยสาร แหล่งที่มาของการเช็คอิน และข้อมูลความปลอดภัยที่สายการบินเพิ่มเติม

รูปแบบฟิลด์ทั้งหมด

ส่วนหัว (2 ตัวอักษร)

รหัสรูปแบบ "M" + จำนวน segment (1-4) ตั๋วหลาย segment เช่น SFO → JFK → LHR จะมีจำนวน segment เป็น 2 และบรรจุข้อมูล segment สองรายการต่อกัน

ชื่อผู้โดยสาร (20 ตัวอักษร)

"LASTNAME/FIRSTNAME" จัดชิดซ้าย เติมช่องว่างให้ครบ ชื่อยาวจะถูกตัดทอน ชื่อที่แสดงบนหน้าจอบัตรผ่านคือข้อมูลที่ถูกต้องเสมอ

ตัวบ่งชี้ตั๋วอิเล็กทรอนิกส์ (1 ตัวอักษร)

"E" สำหรับตั๋วอิเล็กทรอนิกส์ (บัตรผ่านสมัยใหม่ทุกใบ) หรือ " " สำหรับตั๋วกระดาษ (แทบไม่พบในปัจจุบัน)

ต่อ segment (37 ตัวอักษรต่อรายการ)

PNR / รหัสการจอง (7 ตัวอักษร) รหัสอ้างอิงการจอง
สนามบินต้นทาง / ปลายทาง (3 ตัวอักษรต่อแห่ง) รหัส IATA สามตัวอักษร
สายการบิน (3 ตัวอักษร จัดชิดซ้าย) รหัส IATA ของสายการบินที่ดำเนินการบิน
หมายเลขเที่ยวบิน (5 ตัวอักษร เติม 0 นำหน้า)
วันที่บิน (3 ตัวอักษร) หมายเลขวันในปีแบบ Julian (เช่น "250" = วันที่ 250 = 7 กันยายน)
ชั้นโดยสาร (1 ตัวอักษร) Y / W / J / F / ฯลฯ (ประเภทการจอง)
ที่นั่ง (4 ตัวอักษร เติม 0 นำหน้า)
หมายเลขลำดับ (5 ตัวอักษร เติม 0 นำหน้า) ลำดับการเช็คอินของคุณ
สถานะผู้โดยสาร (1 ตัวอักษร) 1=ต้องรับกระเป๋า, 2=เข้าห้องรับรองพิเศษ, 3=ข้ามผ่านความปลอดภัย, F=ขึ้นเครื่องแล้ว, G=เช็คอินที่ประตู ฯลฯ
ความยาวข้อมูลเงื่อนไข (2 ตัวอักษร hex) จำนวนไบต์ของข้อมูลเงื่อนไขหลัง segment นี้

ส่วนข้อมูลเงื่อนไข (ขนาดแปรผัน)

หลังจากแต่ละ segment จะมีข้อมูลเสริมเฉพาะสายการบิน ได้แก่ หมายเลขสมาชิก frequent-flyer, รหัสค่าโดยสาร, สิทธิ์กระเป๋า, ข้อมูลความปลอดภัยเฉพาะสายการบิน และฟิลด์อื่นๆ ที่พบน้อยกว่า หมายเลข frequent-flyer เป็นข้อมูลที่ละเอียดอ่อนที่สุด เนื่องจากเป็นตัวระบุตัวตนระยะยาวที่เชื่อมโยงทุกเที่ยวบินที่คุณเคยเดินทางกับบัญชีเดียว

ส่วนความปลอดภัย (ขนาดแปรผัน, ไม่บังคับ)

สายการบินบางแห่งเพิ่มลายเซ็นเพื่อให้ตรวจสอบบัตรผ่านแบบออฟไลน์ที่ประตูขึ้นเครื่องได้ แต่มีน้อยรายที่บังคับใช้จริง การมีลายเซ็นไม่เปลี่ยนแปลงข้อมูลในส่วนตัวเนื้อ

เหตุใดการโพสต์รูปบัตรผ่านจึงมีความเสี่ยง

การรวมกันของ ชื่อผู้โดยสาร + PNR (รหัสการจอง 7 ตัวอักษร) ทำหน้าที่เหมือนรหัสผ่านสำหรับการเข้าถึงการจองของคุณ ด้วยข้อมูลสองอย่างนั้น ผู้โจมตีสามารถทำสิ่งต่างๆ บนเว็บไซต์บริหารการจองของสายการบินส่วนใหญ่:

เปลี่ยนที่นั่งของคุณ หรือยกเลิกที่นั่งของคุณออกจากเที่ยวบิน
ยกเลิกการอัปเกรดฟรีหรือนำคุณออกจากรายการรอการอัปเกรด
ดูข้อมูลติดต่อของคุณ รวมถึงหมายเลขโทรศัพท์และอีเมลในการจอง
โอนไมล์ frequent-flyer (บางสายการบิน ต้องทำขั้นตอนเพิ่มเติม)
ดูการจองอื่นๆ ของคุณกับสายการบินเดียวกัน (บางสายการบิน)
สร้างอีเมล phishing แบบเจาะจง เช่น "สวัสดี [ชื่อของคุณ] เที่ยวบิน United 123 SFO → JFK วันที่ 7 ก.ย. ของคุณถูกจองใหม่ คลิกที่นี่..."

สายการบินหลายแห่งตอบสนองต่อเหตุการณ์ที่ผ่านมาด้วยการเพิ่มการยืนยันตัวตนหลายปัจจัยในขั้นตอนการจัดการการจอง แต่ไม่ใช่ทุกสายการบิน และระดับการคุ้มครองก็แตกต่างกัน

การโจมตีการโอนไมล์ถูกบันทึกไว้หลายครั้ง ผู้โดยสารที่ทวีตหรือโพสต์รูปบัตรผ่านบน Instagram พบว่าไมล์หายไปในสัปดาห์ถัดมา

สิ่งที่เครื่องสแกนของเราแสดง และวิธีที่ PNR ถูกซ่อน

แสดงโดยค่าเริ่มต้น

ชื่อผู้โดยสาร (ชื่อ นามสกุล) สายการบิน + หมายเลขเที่ยวบิน (ตัดศูนย์นำหน้า เช่น "AA123") เส้นทาง (SFO → JFK) วันที่ในรูปแบบ ISO ที่นั่ง ชั้นโดยสาร และสถานะผู้โดยสาร

ข้อมูลละเอียดอ่อน (แตะเพื่อดู)

PNR ถูกซ่อนอยู่หลัง component แตะเพื่อดู เช่นเดียวกับที่เราใช้กับรหัสผ่านและรหัสลับ 2FA การจับภาพหน้าจอผลการวิเคราะห์ที่สร้างโดยค่าเริ่มต้นจะไม่เปิดเผย PNR

การตรวจสอบบัตรผ่านขึ้นเครื่องของคุณเอง

เหตุผลที่ถูกต้องสามประการที่ผู้คนสแกนบัตรผ่านของตัวเอง:

ยืนยันว่าข้อมูลถูกต้อง หลังการออกใหม่ สายการบินบางครั้งพิมพ์ที่นั่งหรือหมายเลขเที่ยวบินผิด
ตรวจสอบการอัปเกรดหรือสถานะ ที่เจ้าหน้าที่ประตูแจ้ง ไบต์สถานะผู้โดยสารคือข้อมูลต้นทาง
กู้คืน PNR ที่หาย เมื่อคุณไม่มีอีเมลยืนยันการจองแล้ว แต่ยังมีภาพหน้าจอของบัตรผ่าน

เครื่องสแกนทำงานในเบราว์เซอร์ของคุณ มีเพียงข้อความที่ถอดรหัสแล้วถึงเซิร์ฟเวอร์ของเรา (ไม่ใช่ภาพ) ผลการวิเคราะห์ซ่อน PNR ไว้โดยค่าเริ่มต้น

ที่เกี่ยวข้อง

ลองกับบัตรผ่านขึ้นเครื่องของคุณ

ถ่ายภาพบาร์โค้ด (หรือใช้กล้องบนหน้าสแกน) แล้วอัปโหลด ผลแสดงทุก segment ของการเดินทาง พร้อม PNR ซ่อน

เปิดเครื่องสแกน →