What's actually inside a boarding-pass barcode?

Per IATA Resolution 792, every boarding pass barcode encodes the passenger's full name (20 chars), the operating carrier's booking reference (PNR, 7 chars), departure airport (3 chars), arrival airport (3 chars), carrier code, flight number, Julian day of the flight, compartment class, seat number, check-in sequence number, and passenger status. Frequent-flyer numbers and additional itinerary segments are included in the conditional section.

Why is it risky to post my boarding pass online?

The combination of your full name plus the 7-character PNR is enough to log into the airline's 'Manage my booking' flow on most carriers. From there, an attacker can change your seat, redirect your frequent-flyer mileage, see your other upcoming trips, see your contact details, and build a targeted phishing email that name-drops your real itinerary. Several documented incidents involve passengers losing miles or having identity-theft attempts after posting boarding-pass photos to social media.

What symbology does my boarding pass use?

Most carriers worldwide use a 2-D QR or Aztec code. Some European carriers (Eurostar, SBB) use Aztec. A handful still issue PDF417 boarding passes. The content format is the same, IATA Resolution 792's fixed-width text, only the visual encoding differs.

Can my boarding pass be scanned by someone walking past me at the gate?

Yes. Phone cameras can decode the barcode from several feet away in good lighting. Anyone behind you in the boarding line who points their phone at your screen captures the same data the gate scanner reads. Cover the barcode with your hand or angle the screen toward your body until the gate agent is ready to scan it.

标准 · IATA条形码登机牌

登机牌条码中编码了哪些信息？

这几乎包含航空公司掌握的您此次旅程的全部信息。登机牌上的二维条码（QR、Aztec或PDF417）携带您的全名、六或七位订座参考号、航空公司及航班号、航线、出发日期、座位、舱位等级、值机顺序，以及任何已关联的常旅客号码。您的姓名加上该订座参考号，足以登录航空公司网站并查看您的订单，这也是为何公开发布登机牌照片是真实的安全隐患。

验证您的登机牌 → 所有标准 →

格式说明

The standard is IATA Resolution 792, maintained by the International Air Transport Association as part of the Passenger Services Conference Recommended Practices. It defines a fixed-width text encoding that fits inside a 2-D barcode and contains everything the gate agent's scanner needs to confirm your booking.

容器支持多种条码符号，目前大多数航空公司使用QR码，欧洲高铁和瑞士联邦铁路使用Aztec码，少数传统航空公司仍使用PDF417。三种格式编码的文本内容完全相同，仅视觉呈现不同。我们的扫描仪支持读取全部三种符号，并对结果文本应用同一解码器。

每张登机牌的必填部分固定为60个字符：2字符头部（格式代码“M” + 航段数）、20字符旅客姓名、1字符电子机票标识符，再加37字符航段数据。多航段中转机票每增加一个航段再追加37个字符。条件段（必填60字符之后）通常包含常旅客号码、票价代码、值机来源（网络/自助机/人工）以及航空公司附加的任何安全数据。

完整字段布局

头部（2个字符）

格式代码“M” + 航段数（1-4）。多航段机票，例如SFO → JFK → LHR，航段数为2，连续包含两个航段记录。

旅客姓名（20个字符）

“姓/名”左对齐，以空格填充。较长的姓名会被截断；登机牌上显示的姓名始终以原始来源为准。

电子机票标识符（1个字符）

“E”表示电子机票（所有现代登机牌均为此类），“ ”表示纸质机票（几乎已不存在）。

每航段（各37个字符）

PNR /记录定位符（7个字符），订座参考号。
出发/到达机场（各3个字符），IATA三字代码。
承运航空公司（3个字符，左对齐），运营航空公司的IATA代码。
航班号（5个字符，前补零）。
飞行日期（3个字符），儒略日（例如“250”= 第250天 = 9月7日）。
舱位（1个字符），Y / W / J / F等（订座舱位代码）。
座位（4个字符，前补零）。
序列号（5个字符，前补零），您的值机顺序。
旅客状态（1个字符），1=需托运行李，2=可进贵宾室，3=免安检，F=已登机，G=登机口托运等。
条件长度（2个十六进制字符），该航段条件数据的字节数。

条件段（可变长度）

每个航段结束后，有一个可选段包含航空公司特有的附加信息：常旅客号码、票价代码、行李额、航空公司安全数据以及若干不常见字段。常旅客号码是此处最敏感的隐私数据，它是一个长期标识符，将您所有飞行记录与同一账户绑定。

安全段（可变长度，可选）

部分航空公司会附加签名，以便在登机口离线验证登机牌。但很少有公司强制执行此验证。签名的存在不会改变正文内容。

为何发布登机牌照片存在风险

旅客姓名 + PNR（7位订座参考号）的组合，在大多数航空公司相当于一个密码。“管理我的预订”查询接受这两个字段作为身份证明。有了它们，攻击者可以：

更改您的座位，或将您从航班上移除。
取消免费升舱或将您从候补升舱名单中移除。
查看您的联系方式，包括订单上的电话号码和电子邮件地址。
重定向常旅客里程（部分航空公司，需额外步骤）。
查看您在同一航空公司的其他预订（部分航空公司）。
发起针对性网络钓鱼邮件，例如“您好 [您的姓名]，您的美联航123航班SFO → JFK 9月7日已改签，请点击此处确认”，其中包含真实行程细节。收件人点击此类邮件的可能性远高于普通钓鱼邮件。

部分航空公司在过去事件后，已在“管理我的预订”流程中增加了多因素身份验证。但许多航空公司尚未做到。

里程重定向攻击已有多起记录。在推特或Instagram发布登机牌照片的旅客，曾遭遇升舱被取消、预订被更改，以及在数小时内收到包含行程匹配信息的网络钓鱼攻击。

我们的扫描仪显示的内容，以及PNR如何被遮蔽

默认可见内容

旅客姓名（名姓）、航空公司 + 航班号（去除前导零，如“AA123”）、航线（SFO → JFK）、ISO格式日期（儒略日展开，带智能年份前推）、座位（去除前导零，如“12A”）、舱位等级、序列号、状态（含人工标签，如“已登机”、“可进贵宾室”等）。多航段登机牌将显示每个航段的行标签。

敏感内容（点击显示）

PNR通过与密码和双重验证密钥相同的“点击显示”组件进行遮蔽。在未点击显示按钮的情况下截取判定结果截图，不会泄露订座参考号。条件段中如有常旅客号码，服务器分析器不会提取该信息——它是将多次旅行关联在一起的稳定身份标识，在判定页面上显示该信息会破坏隐私保护立场。

验证您自己的登机牌

人们扫描自己登机牌的三个合理原因：

改签后确认数据正确。航空公司偶尔会出现座位或航班号输入错误的情况。
核实登机口工作人员告知的升舱或状态——旅客状态字节是最终真实来源。
找回遗失的PNR——当您不再有订座确认邮件，但仍保有登机牌截图时。

扫描仪在您的浏览器中运行，只有解码后的文本会到达我们的服务器（不是图像）。判定结果默认遮蔽PNR。如果您截屏判定结果留存记录，PNR将保持遮蔽状态，除非您在截屏前明确选择显示。

用您的登机牌试试

拍摄条码（或使用扫描仪页面上的摄像头）并上传。判定结果将显示您行程的每个航段，同时遮蔽PNR。

打开扫描仪 →