Dansk IT: Stop så med at bruge CPR-numre til validering

Illustration: leowolfert/Bigstock
Der er stadig store huller i CPR-sikkerheden, så CPR-numre bør slet ikke bruges til validering, når man for eksempel optager lån. I stedet skal vi have et borgerkort, mener Dansk IT.

Lad være med at se CPR-nummeret som et hemmeligt kodeord, men brug det kun som et brugernavn. For sikkerheden er alt for lav til reel validering af en persons identitet. Sådan lyder det fra Dansk IT, efter TV2 i et nyhedsindslag satte fokus på problemet.

Kritikken af, hvordan CPR-numre bliver brugt i dag, er ikke ny, men nu får den en tur mere i manegen, fordi der stadig ikke er sket noget på området. TV2’s indslag var for eksempel en opfølgning på samme historie, bragt for knap et år siden.

I det nye indslag viste den it-studerende Søren Louv-Jansen, hvordan han ud fra Margrethe Vestagers fødselsdato lynhurtigt kunne nå frem til hendes CPR-nummer og dermed for eksempel låne 50.000 kroner i hendes havn hos Ikano Bank. Problemet de webtjenester, hvor et CPR-nummer bliver tjekket med det samme, og hvor der ikke er begrænsninger på antallet af mulige opslag. Dermed kan man med lidt brute force hurtigt finde frem til det korrekte CPR-nummer.

Margrethe Vestager mente ikke, at der er noget galt med loven, men at fokus skulle være på, at virksomheder ikke giver adgang til den slags misbrug. Men problemet vil være det samme, selv hvis der var et loft for antal opslag - det ville bare tage lidt længere tid og kræve, at man brugte flere forskellige webtjenester på én gang, pointerer Søren Louv-Jansen.

Hos Dansk IT vil man have stoppet brugen af CPR-numre som validering af en persons identitet fuldstændigt. For uanset om hullerne stoppes her og der, er det rent held, at der ikke allerede er sket et læk af hele den danske CPR-database, mener organisationens formand Klaus Kvorning Hansen, ifølge en nyhed på dit.dk

Læs også: Anonymous slår til i Danmark: Vi har hacket CPR.dk og Atea

I stedet bør man bruge NemID til at sikre en persons sande identitet, i første omgang, mens løsningen på længere sigt er et borgerkort til hver dansker. Dermed kan man også skifte borgerkortet ud, hvis det er blevet misbrugt, mens det er umuligt i dag at få et nyt CPR-nummer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Søren Mors

Der er ikke noget galt med loven, der er noget galt med at Ikano bank (og andre) tror at bare fordi man kender nogens cpr nummer, så er man denne.

Eller som Andreas allerede har skrevet, CPR er til identificering ikke authentificering.

  • 6
  • 1
#14 Jesper Lund

For mere info om hvordan man kommer uden om de begrænsninger der er fra CPR registeret kan jeg henvise til Søren Louv-Jansen.

Så vidt jeg husker skrivelsen fra CPR kontoret er kravet, at det ikke må være muligt at bruge virksomhedens system til at validere CPR numre. Det er noget som CBB selv skal sikre i deres systemer.

CBB kunne tage mod et indtastet CPR nummer, navn og adresse, uden med det samme at give besked til kunden om at der er et match. Det kan gøres på en email efter X timer hvor CBB enten bekræfter oprettelsen og at et SIM kort er på vej i posten, eller skriver til kunden at der er et problem med de indtastede oplysninger.

Hvis der skal gives besked med det samme, må man bruge andre metoder, som NemID.

  • 2
  • 0
#15 Ulrik Skyt

Det er tilsyneladende en udbredt misforståelse at nye cpr-numre ikke overholder modulus-11 checket. Det er korrekt, at de ikke nødvendigvis overholder modulus-11 checket, men i praksis gør de. Der udtrækkes nemlig stadig cpr-numre som overholder checket, så længe det overhovedet er muligt. Og indtil videre har kapaciteten af systemet kun nået sin grænse på to specifikke fødselsdage, vistnok 01.01.1960 og 01.01.1959, hvor der i alt er udtrukket 18 cpr-numre, som ikke overholder modulus-11 checket.

Problemerne skyldes at indvandrere med ukendt fødselsdato fik tildelt 1. januar i deres fødselsår til cpr-nummeret. Og i den sammenhæng var 1959 og 1960 "store årgange". Hvis man dengang havde spredt folks nye fødselsdatoer lidt ud over året var der ikke opstået kapacitetsoroblemer!

I øvrigt kan man bemærke at folk med de berørte cpr-numre har været myndige i mange år.

  • 1
  • 2
Log ind eller Opret konto for at kommentere