Dansk IT: Brug NemID i stedet for CPR til at bekræfte folks identitet

Illustration: REDPIXEL.PL/Bigstock
Dansk IT mener, at CPR-nummeret er alt for usikkert til at verificere identiteter med og vil have NemID brugt istedet. Økonomi- og indenrigsministeren er enig, men vil ikke tvinge nogen.

Det er umuligt at holde CPR-numre hemmeligt, og derfor bør man bruge NemID til at verificere identiteter på internettet, lyder det fra organisationen Dansk IT.

»Det er vigtigt at slå fast, at der ikke er noget i vejen med selve cpr-nummer-systemet. Det gør det blandt andet muligt at indkræve korrekte skatter, at kvalitetskontrollere oplysninger og meget mere. Problemet er, at såvel private virksomheder som offentlige myndigheder bliver ved med at sætte deres lid til, at den stemme i telefonrøret eller den person foran skranken, er den samme som gemmer sig bag de forjættede cifre, vedkommende oplyser. Men det er helt forfejlet på den måde at bruge personnummeret som legitimation,« udtaler Klaus Kvorning Hansen, formand, Dansk IT, i en pressemeddelelse.

Reaktionen fra Dansk IT kommer, efter at to studerende på IT-Universitetet har demonstreret, hvordan man med et lille program kan finde frem til danskernes CPR-nummer ved blot at kende personens fødselsdato og adresse. Informationer man typisk kan finde på Facebook og Krak.

Læs også: ITU-studerende kan støvsuge alle danskeres CPR-numre

Derfor foreslår Dansk IT, at man i stedet bruger billedlegitimation eller bruger NemID til at verificere identiteter. En løsning økonomi- og indenrigsminister, Magrethe Vestager, tilslutter sig

»Den bedste løsning er at gå over til at bruge NemID, som man gør i hele den offentlige sektor og som der allerede er flere hundrede virksomheder, der er gået i gang med,« siger Magrethe Vestager til TV2 Nyhederne.

Hun afviser dog at tvinge virksomhederne til at droppe CPR-nummer til fordel for NemID.

»Ingen tvang indtil videre, fordi vilkårene er soleklare. Hvis man vil trække på CPR, så skal sikkerheden være i orden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Ole Belhage

Ja, de 2 studerende behøver jo ikke at vise at NemID er nem af bryde - det har vi jo allerede set (gentagne gange)!
Iøvrigt er NemID datamodelmæssigt knytte 1:1 op til CPR - så selv der er de til grin!
Og forklaringen på at NemID ikke kan finde ud at lave virksomhedsløsninger ?

Suk

Jacob Larsen

Hun afviser dog at tvinge virksomhederne til at droppe CPR-nummer...

Kunne de ikke i det mindste ændre på bevisbyrden? Pt. hvis den russiske mafia eller andre gætter mit CPR-nummer, og begynder at bruge det til at tørre quicklån eller andet af på mig, så er jeg f**cked. Jeg vil gerne kunne gå tilbage til den virksomhed der er blevet snydt med mit CPR-nummer og sige til dem at de ikke har nok dokumentation for at holde mig ansvarlig, siden de ikke tilstrækkeligt har verificeret identiteten på kunden, og så er det ellers deres problem at jage svindleren.

Så længe CPR-nummer alene er godkendt som legitimation, så kommer vi ikke væk fra den kritisable retsstilling der bliver fremhævet her.

Anonym

Man kan ikke bruge NemID til at Identificere med, for NemID er ikke et identifikationssystem.
Det kan IKKE lade sig gøre, at identificere nogen som helst gennem et sådant system.
Der er KUN en der kan identificerer, det er identiteten selv. Og det skal være muligt at identificerer sig over for alle, i en hvilken som helst identifikationssituation.

Med hensyn til CPR, så har det ikke fungeret i mange år. Men der er alternativer, der kan rette fejlen, uden at man nødvendigvis behøver at smide CPR selv i skrotkassen.

Henrik Madsen

At påstå at NemID er sikkert og at det kan bruges til såkaldt sikker identifikation er naivt og torskedumt.

Indtil videre har adskillige folk fået stjålet penge fra deres netbank via MITM angreb og dette vil kun blive værre eftersom man jo mener at NemID skal bruges til alt muligt.

Det bliver "nemt" for de kriminelle at finde een af de 1000 vis af sider hvor vi bliver bedt om at indtaste NemID koder og erstatte NemID appletten på den side med deres egen kopi.

Derefter beder man om en NemID kode og vupti så kan man bruge denne kode til at verificere sig overfor hvemsomhelst og da NemID jo anses for et system som er meget mere sikkert end CPR nummeret så vil det blive EKSTRA svært at bevise sin uskyld.

NemID er ikke et sikkert identifikations system og det er IKKE en digital signatur så lad nu for filan være med at blive ved med at tvinge folk til at bruge lortet til disse aktioner.

Det er kun et spørgsmål om tid før de kriminelle finder ud af at NemID også kan bruges til identitetstyveri og ikke kun til at snuppe penge fra deres konti.

Når man læser at nu er der igen 8 konti som er lænset så betyder det jo ikke at de kun har haft adgang til 8 personers NemID men at de fandt 8 af de MANGE som de havde adgang til som havde en kreditgrænse som gjorde det attraktivt at stjæle penge.

Mange banker skal så vidt jeg ved ikke bruge NemID koder før man laver transaktioner så måske i fremtiden bliver det sådan at når tyvene laver et raid så stjæler de penge fra de 10 som har gode kreditmax og dem som ikke har, der bruger man istedetfor koden til at stjæle deres digitale identitet.

Henrik Madsen

Michael Nielsen

You've got it.

Forskellen mellem "hemmlig" CPR nummer og NemID er......... øh..

Hmm, jeg syntes Dansk IT skulle gå tilbage og tage kurser i almindelig sikkerhed, og hvordan man tester sikkerhed - man lærere nok inden for de første 2 timer, til at kunne finde mange væsentlige huller i NemID, bare ved logisk inspektion af systemet - og det er helt uden at kigge på de svære ting, som at hacke systemet, og evt. bugs.

Reelt løftet i sikkerhed ved at skifte fra "hemmelige" cpr nummere, til NemID er til at overse

Det er meget bekymerende at en organisation der påstår at repræsentere Dansk IT, ved så lidt om sikkerhed.

Hvis DIT repræsentere Dansk IT formåen, så kan vi lige så godt lukke og slukke nu!.

Sune Foldager

Det sædvanlige brok fra alle Nem ID haderne. Der er da ingen tvivl om at Nem ID-identifikation (og jo, det kan det selvfølgelig godt bruges til), er langt sikrere end et CPR-nummer. Det er da enten dumt eller uærligt at påstå andet. Det svarer jo til forskellen mellem brugernavn og brugernavn/password/nøglekort.

Ja det findes MITM-angreb og Nem ID har bestemt nogle problemer, men det er da bedre end nu hvor du ikke engang behøver et angreb for at skaffe CPR-nummeret.

Baldur Norddahl

Den bedste løsning er at gå over til at bruge NemID, som man gør i hele den offentlige sektor

Det er jo løgn. Den offentlige sektor er den værste. Ja man bruger NemID på websider men i den "analoge" verden bruges CPR nummer stadig som løsen stort set overalt i den offentlige sektor. Det er på sygehuset, på apoteket, skolen og så videre. Ja selv politiet tror på dig når du kommer med 10 cifre der tilfældigvis passer på en person af samme køn og omtrent på din egen alder.

Somes Alast

ska bare ryge en tur på sygehus der er politken at spørge pertienten i fælles stuen om cpr nummer 10 gange om dagen for at sikre de har med den rigtige at gøre -.- :facepalm: ... ja vis du klare den tur så må man håbe der penge på konto når man bliver udskrevet

"Det er umuligt at holde CPR-numre hemmeligt, og derfor bør man bruge NemID til at verificere identiteter på internettet, lyder det fra organisationen Dansk IT."

og som andre her siger er nemid jo bygget op omkring cpr, hva "nemid" er det i har tænkt at bruge ... ens nemid er ens cprnummer ?.. giver hovedpine -.-

minder mig om nyhed om hollansk piratparti ik må sige hvordan man omgår piratebay.... er det måske forbudt at påpege måden sygehusne håntere cpr på lol -.-

Carsten Stenberg

Denne debat er som en sammenligning af pære og bananer !

Som det er beskrevet i tidligere indlæg er Cprnr en numerisk identifikation af danske borgere (ikke et login system eller en digital underskrift !).

Cprnr er helt essential i f.eks. sundhedssektoren, hvor den SKAL benyttes til at sikre at man behandle den korrekte patient med den rigtige medicin osv.
Derfor vil man som med-patient kunne hører de andre patienteres cprnr - også selvom man som patient er udstyret med armbånd mm.

Artiklen tager udgangspunkt i private firmaers brug af cprnr, hvilket er en helt anden sag.
Cprnr burde kun benyttes af private firmaer såfremt det er ledsages af et krav fra offentlige myndigheder ( måske teleselskaber skal brug koblingen ifb myndighedernes overvågning af borgerne !?), men ellers burde cprnr være fuldstændig irrelevant for forhold mellem kunde og firma.

Hvis jeg køber og betaler for en vare så er der ikke behov for en 100% identifikation. Og hvis jeg skal købe på afbetaling, så gælder min underskrift (både manuel og digital !) uanset om cprnr står på kontrakten eller ej. Hvis firmaet ikke ikke har tillid til mig som kunde uden at få oplyst cprnr, så skal firmaet lade være med at handle med mig !

Peter Stricker

Denne debat er som en sammenligning af pære og bananer !


Jo måske, men det er dit indlæg altså også. Du blander sikker identifikation sammen med entydig identifikation.

Som det er beskrevet i tidligere indlæg er Cprnr en numerisk identifikation af danske borgere (ikke et login system eller en digital underskrift !).


Ja, et CPR nummer er en entydig identifikation. Hvis jeg beder om data på en borger med CPR nummer 231045-0637, så er det entydigt, at det er sangeren Kim Larsen, der menes.

Men CPR nummer er ikke en sikker identifikation. Kim Larsen har udgivet en plade med ovennævnte CPR nummer som titel. Det vil sige, at enhver ved forespørgsel på CPR nummer kan oplyse Kim Larsens CPR nummer. Men blot fordi jeg påstår at mit navn er Kim Larsen og mit CPR nummer er 231045-0637, så er det altså ikke sikkerhed for, at jeg er den, jeg giver mig ud for at være.

Cprnr er helt essential i f.eks. sundhedssektoren, hvor den SKAL benyttes til at sikre at man behandle den korrekte patient med den rigtige medicin osv.


Nej, i behandlingssituationen, kunne der sagtens benyttes en afledt identifikation. Der er slet intet behov for at sundhedspersonalet skal kende patientens CPR nummer. Dato for første henvendelse ved behandlingsstedet i forbindelses med det aktuelle behandlingsforløb, sammensat med et firecifret løbenummer, ville være en lige så simpel og entydig identifikation. Der er ikke behov for at to behandlingssteder skal benytte samme entydige identifikation til en bestemt patient, blot man via den afledte identifikation kan finde tilbage til rod-identifikationen.

Hvis jeg køber og betaler for en vare så er der ikke behov for en 100% identifikation.


Der er ikke behov for en 100% sikker identifikation, hvis forhandleren kan leve med, at man måske en gang imellem bliver snydt. Men der en ingen grund til at give afkald på en 100% entydig identifikation. Den vare, der sendes til Peter Stricker skal 100% sikkert være den vare, der er bestilt under den ordre, hvor ordreafgiveren har identificeret sig som Peter Stricker. Der skal ikke være en lille risiko for, at jeg i stedet modtager den vare, som Kim Larsen har bestilt.

Men der er ingen grund til at denne entydige identifikation skal basere sig på CPR nummer.

Jesper Lund

Uanset debatten om nemID og IT-C-Holdet, så er og bliver rystende naivt at det er tilladt at anvende CPR og sygesikringkort som legitimation.

Ikke alle borgere har billed-ID som pas eller kørekort, hvis det er dit alternative forslag?

Teleselskabernes interesse i at sikre kundernes identitet er formentlig primært statens paranoide krav om overvågning. Hvis der er tale om forudbetalt telefoni uden salg af subsidierede telefoner, er kreditgivningen begrænset. Reelt på niveau med taletidskort, bort set fra at optankning foregår via internettet.

Daniel Udsen

Dybest set er al sikkerhed i nemid baseret på adresse oplysninger registeret i CPR registret, og NemID brugernavn er i princippet dit CPR nummer. Nemid er kun et altilernativ til at lave Authentication digitalt istedet for via underskrevne papirbreve/telefax, ved at man på forhånd hat sendt et OTP kort(en teknologi der går tilbage til før WWI) med posten(men ikke nødvendigvis kun til den CPR registret registerede adresse).

Eller sagt på en anden måde har du adgang til CPR+adresse og lidt historie kan du overtage en persons NemId identifikation(og det kræver ikke andet end et telefon opkald til nemID's support).

Hvornår går det op for alle cand.scient.adm og MBA'erne at de er nødt til at have bare lidt styr på den underliggende teknik før de kan komme frem med en "løsning" der ikke bare er en omdefindering af problemet.

Morten Saxov

Nej, i behandlingssituationen, kunne der sagtens benyttes en afledt identifikation. Der er slet intet behov for at sundhedspersonalet skal kende patientens CPR nummer. Dato for første henvendelse ved behandlingsstedet i forbindelses med det aktuelle behandlingsforløb, sammensat med et firecifret løbenummer, ville være en lige så simpel og entydig identifikation.


Jeg vil sige det kommer meget an på situationen.
Hvis du har prøvet at være indlagt på hospitalet, og ligge der semi-drugged up diverse stoffer, og der kommer en laborant der skal tage blodprøver, og skal bekræfte det er den rigtige patient. Hvad tror du så en patient bedst kan huske ?
Sit CPR nummer, eller dato/klokkeslet for indlæggelse samt et vilkårligt tal?

Peter Stricker

Hvis du har prøvet at være indlagt på hospitalet, og ligge der semi-drugged up diverse stoffer, og der kommer en laborant der skal tage blodprøver, og skal bekræfte det er den rigtige patient. Hvad tror du så en patient bedst kan huske ?
Sit CPR nummer, eller dato/klokkeslet for indlæggelse samt et vilkårligt tal?


Jeg kan forestille mig andre måder at bekræfte en allerede fastslået identitet, end CPR nummer eller mit simple forslag til identifikation.
Chancen for at patienten kan huske sit navn er nok endnu større. Og i tvivlstilfælde kunne det suppleres med sundhedspersonalets verifikation af identiteten.

Bjørn Agger

Hvis du bliver indlagt, og du i forvejen har en sygdom under behandling (fx Parkinson), så kan det være af væsentlig betydning, at lægen ved, hvad du i øvrigt fejler. Der er CPRnr en væsentlig bedre nøgle end navn og indlæggelsestidspunkt.

Derudover så er jeg dybt irriteret over alle de forretninger, hvor man bliver afkrævet CPRnr. Et opslag hos CPR med navn og adresse giver samme sikkerhed for identifikation, som et opslag hos CPR med CPRnr!

Mvh Bjørn

Finn Christensen

Derudover så er jeg dybt irriteret over alle de forretninger, hvor man bliver afkrævet CPRnr.

Klaus Kvorning Hansen laver et partsindlæg, hvor han meler egen kage - pyt med ham. At den radikale formand hopper på limpinden - uden at tænke sig om - er sørgligt men forventet... bønder har ikke forstand på agurkesalat ;)

Misbrug - ja her er hunden begravet, da CPR ved fødslen faktisk var planlagt som en seriøs og brugbar offentlig nøgle, og nøglen var ikke var ment som en sikkerhedsfidus ifm. at låne videofilm eller andet tant og fjas i den private sektor - flere tiår efter har ufornuftig omgang med CPR-nøglen ødelagt værdien.

Så nu skal næste nøgle NemID, der jo er født samt vokser op i den private sektor (bankerne), også ødelægges hurtigst muligt med tant og fjas, så vi igen må opfinde den næste sikkerhedslås etc. etc.

Og selvfølgelig skal de samme ligegyldige private firmainteresser have grabber langt ned i kagekassen, selvom de primært (+ enkelte offentlige sjuskehoveder) er de skyldige i CPR's deroute - Magrethe Vestager tag dig dog sammen kone !

Carsten Stenberg

Nej, i behandlingssituationen, kunne der sagtens benyttes en afledt identifikation. Der er slet intet behov for at sundhedspersonalet skal kende patientens CPR nummer. Dato for første henvendelse ved behandlingsstedet i forbindelses med det aktuelle behandlingsforløb, sammensat med et firecifret løbenummer, ville være en lige så simpel og entydig identifikation. Der er ikke behov for at to behandlingssteder skal benytte samme entydige identifikation til en bestemt patient, blot man via den afledte identifikation kan finde tilbage til rod-identifikationen.

Beklager, men jeg arbejder med sundheds-IT og har desuden nære pårørende som er i løbende behandling, så jeg kan med sikkerhed sige at der er behov for entydige identifikation både under behandlingen og mellem behandlingssteder.

Nøgle som generes udfra tidspunkter o.lign. dur ikke i den virkelige verden, fordi der aldrig er sammenfald mellem tid og registering.

CPRnr er i sin nuværende udformning ikke længere tilstrækkelig af mange årsager og bør redesignes, men det kan ikke løses med Nemid eller andre loginsystemer.

Peter Stricker

Beklager, men jeg arbejder med sundheds-IT


Det forklarer måske præferencen for CPR nummer systemet.

både under behandlingen og mellem behandlingssteder


Korrekt, men det er stadig ikke nødvendigt, at førstnævnte er den samme som sidstnævnte.
Sundhedspersonalet behøver slet ikke at kende den rodnøgle, der binder to behandlingers afledte nøgler sammen.

Nøgle som generes udfra tidspunkter o.lign. dur ikke i den virkelige verden, fordi der aldrig er sammenfald mellem tid og registering.


Lad være med at hænge dig for meget i det specifikke forslag. Det var ikke et officielt bud på en løsning, men ment som et eksempel på en nøgle der, i den konkrete relation mellem patienten og behandleren, ikke ville være ringere end CPR.
Vi kan sagtens blive enige om, at der kan opstå problemer med at huske nøglen - og de vil nok optræde endnu hyppigere end med CPR nummer.

CPRnr er i sin nuværende udformning ikke længere tilstrækkelig af mange årsager og bør redesignes, men det kan ikke løses med Nemid


Jeg tror ikke, at du kan finde mange indlæg, hvor jeg tager NemID i forsvar. Så skal du i hvert fald helt tilbage til starten, hvor jeg ikke helt kunne følge alle Stephan Engbergs advarsler mod de negative konsekvenser af NemID. Men jeg lyttede og blev forhåbentlig klogere.

NemID faciliterer heller ikke dannelsen af afledte formålsspecifikke nøgler, og stiller os dermed ikke meget bedre end CPR nummer systemet. Selvom skadevirkningerne er af en anderledes karakter.

eller andre loginsystemer.


Nu blander du vel ikke patientens CPR nummer sammen med sundhedspersonalets login?

Log ind eller Opret konto for at kommentere