Opråb: Stop så med CPR til validering - brug NemID i stedet

Illustration: leowolfert/Bigstock
Hold op med at bruge CPR-numre til at identificere folk. Det mener Dansk IT i kølvandet på hackingen af blandt andet kørekortregistret.

Foreningen Dansk IT undrer sig over, at der stadig er virksomheder, der bruger CPR-numre til at identificere folk. Der er eksempelvis tale om firmaer, der udbyder lån, abonnementer eller salg på kredit.

»Myndigheder og virksomheder bliver nødt til at reagere på, at flere millioner danskeres CPR-numre ifølge Rigspolitiet er kommet i hackeres hænder. Det giver derfor ingen mening, hvis man som virksomhed forsætter med at anvende CPR-numre til at validere folks identitet, når hackere sandsynligvis har haft adgang til millioner af danskeres CPR-numre,« udtaler Peter Pietras, der er næstformand for DANSK IT’s udvalg for offentlig it i en pressemeddelelse.

Dansk IT foreslår, at man i stedet for CPR-nummeret bruger NemID, indtil et bedre alternativ er udviklet. Forslaget går på et såkaldt borgerkort, der i tilfælde af misbrug ville kunne udskiftes. Det er nemlig et af de store problemer med CPR-validering. CPR-numre kan ikke skiftes ud.

»DANSK IT har tidligere gjort de ansvarlige ministerier opmærksomme på det uholdbare i, at der støttes sikkerhed på et nummer, der ikke kan tilbagetrækkes og fornys. Det svarer jo til, at man ikke kunne få lukket sit kreditkort, hvis det faldt i de forkerte hænder,« udtaler Peter Pietras.

Politiet har ellers udsendt en række anvisninger til borgerne, men ikke til firmaer. Læs anvisningerne her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Strengt taget er CPR-numre perfekte til identifikation: Det er en entydig nøgle til identifikation af personer med fast bopæl i Danmark. Det er legitimation (validering af identitet), som de ikke dur til.

Men de er mange mennesker, der bruger ordet "identifikation" (forkert) om "legitimation". For eksempel i ovenstående tekst.

  • 28
  • 1
Torben Mogensen Blogger

Nu er det ikke så godt alligevel... for det første har CPR-numrene information om alder og køn i sig og desuden er de besværlige at udskifte (af den foregående årsag), hvis de bliver kompromitteret.

Det første er til dels et problem, men disse informationer kan også bruges til som sanity check, hvilket er en fordel. Om de er specielt følsomme, kan diskuteres. Jeg synes det ikke, og da CPR-numre oftest bruges sammen med navne, fremgår kønnet i regel. Alderen vil nogle dog nødig have offentliggjort, men jeg ser det ikke som noget stort problem.

Men det andet er kun et problem, hvis CPR-numre bruges til andet end identifikation (såsom legitimation). Ellers kan man ikke rigtig tale om, at de bliver kompromitterede. Dit navn bliver jo heller ikke "kompromitteret" af at stå i telefonbogen eller ved dine blogindlæg.

  • 18
  • 1
Jon Linde

Om de er specielt følsomme, kan diskuteres. Jeg synes det ikke, og da CPR-numre oftest bruges sammen med navne, fremgår kønnet i regel. Alderen vil nogle dog nødig have offentliggjort, men jeg ser det ikke som noget stort problem.

Nogle er ikke så følsomme - andre er meget følsomme.
Faktum er at der er nogle som har et problem med både alder og køn. En ny løsning bør derfor tage hensyn til dette.

Oprindeligt kunne man lave et sanity check på f.eks. køn - men sådan er det jo ikke længere.
Det giver fra tid til anden nogle store problemer for de ramte personer - typisk giver det igen og igen anledning til misforståelser og hindringer i det daglige liv.
Det giver også anledning til en del problemer med fødselsdagen. Personer som af den ene eller anden grund har fået rettet deres fødselsdag, vil også i mange tilfælde støde på problemer på et tidspunkt.

I bund og grund kan det ikke være rigtigt, at vi ikke kan finde på en bedre løsning end det som er i dag.
Med den udviklingen som der har været i samfund og teknologi er der både behov og mulighed for at finde på en løsning som både er sikker, fleksibel og fortrolig.

Min umiddelbare tanke er en form for løbe/serienummer med et par ekstra tal/bokstaver til en simpel form for CRC check. Dermed vil det være uafhængigt af både alder, fødselsdag, køn, navn og andet. Det vil også kunne udskiftes i tilfælde af identitestyveri.

At CPR-nummer ikke kan/bør blive benyttet som legitimation er selvsagt.
At man f.eks. kan få oprettet et lån i en bank - blot ved at kende navn og CPR nummer, er jo helt ude i hampen...

  • 6
  • 0
Steen Jørgensen

På nettet skal man selvfølgelig bruge NemID. Ved personligt fremmøde er billedlegitimation i form af pas eller kørekort at foretrække. Det primære problem, som jeg ser det, er når man ringer til nogen, og skal have noget udført i relation til ens person. Det kan være man ringer til sin læge, uddannelsessted eller hvad ved jeg. Her duer altså hverken pas, kørekort eller NemID.

Er det ikke primært her, problemet er?

  • 3
  • 0
Andreas Bach Aaen

På Den Blå Avis (dba.dk) er jeg CPR-valideret, men ikke NemID valideret, da det kræver at man har tilvalgt OCES-delen af NemID - altså den tåbelige konstruktion med centrale nøgler.
Det ser ud til at dba.dk vil udfase CPR-validering og kun benytte OCES-NemID fremover. Øv Øv øv.
Den rigtige løsning vil selsagt være NemID uden centrale nøgler.

  • 9
  • 0
Martin Bøgelund
  • 0
  • 1
Finn Christensen

Der har - ifølge rygtet og Wikipedia - også været praksis at indlejre andre og mere personfølsomme informationer i CPR-numre, end køn og alder.

Rygter og Wikipedia spilder nogle gange folks tid med 100% vås, og det sker i dette tilfælde.

Men jeg synes "Foreningen Dansk IT" for mange år siden skulle have taget sig sammen og få stoppet misbrug af CPR til utallige tåbeligheder.

At "Foreningen Dansk IT" først skriger op om, at nogle skal lukke porten, efter hesten er rendt af gårde, det kan kun fortælle os, at foreningen fik 'røde øre', og at de heller ikke med rettidig omhu gad tage deres faglige opgave seriøst - skam jer!

NB! 02/05/2013 – Tony Franke fratræder som direktør for "Foreningen Dansk IT", og der foreligger så en oprydningsopgave for bestyrelsen og den nye direktør.

  • 0
  • 2
Peter Nørregaard Blogger

At "Foreningen Dansk IT" først skriger op om, at nogle skal lukke porten, efter hesten er rendt af gårde, det kan kun fortælle os, at foreningen fik 'røde øre', og at de heller ikke med rettidig omhu gad tage deres faglige opgave seriøst - skam jer!

Arh, Finn, nu må du lige gøre dit forarbejde mere grundigt før du farer til tasterne. Dansk IT har i årevis kritiseret hvordan personnumre bruges. Peter Pietras har fx tidligere i 2010 plæderet for at offentliggøre alle CPR-numre så vi en gang for alle kunne få skudt myten om numrenes hemmelige natur ned. De røde ører bør ikke være Dansk IT's...

  • 7
  • 0
Peter Mogensen

Der har - ifølge rygtet og Wikipedia - også været praksis at indlejre andre og mere personfølsomme informationer i CPR-numre, end køn og alder.

Du mener ved den slags ID-numre generelt ude i verden (f.eks "social security numbers" i USA) ?
Ellers skal der godtnok en særdeles avanceret steganografi til at gemme mere info i de det nuværende CPR-nummer format end der allerede er.

  • 3
  • 0
Peter Kyllesbeck

Her duer altså hverken pas, kørekort eller NemID.


Men de koster penge og billede eller kræver netbankkonto/internetadgang.
Sygesikringskortet (CPR-kortet) er den eneste identifikation, man får af staten.
På hospitaler ved f. eks. blodprøvetagning kontrolleres identiteten ved at man skal sige det CPR-nummer (der for nemheds skyld indeholder ens fødselsdato som den største del), der står på det netop afleverede sygesikringskort.
Egentlig er CPR-numre kun en maskinlæsbar entydig identifikation.

  • 0
  • 0
Anders Lind

Jeg har en bekendt, der er transkønnet.
For vedkommende betyder det at være født i en kvindekrop, men føler og tænker som en mand.
Da det i forvejen er svært at skifte køn i Danmark - læs der er mange hindringer fra det offentliges side - så er det ekstra hårdt at blive udstillet, som det man ikke er.
I nogle andre lande har man kønsneutrale cpr-numre, hvilket man nok burde overveje i Danmark, når vi alligevel er ved debatten om at gøre cpr-systemet bedre.

  • 2
  • 0
Svend Eriksen

På nettet skal man selvfølgelig bruge NemID. Ved personligt fremmøde er billedlegitimation i form af pas eller kørekort at foretrække. Det primære problem, som jeg ser det, er når man ringer til nogen, og skal have noget udført i relation til ens person. Det kan være man ringer til sin læge, uddannelsessted eller hvad ved jeg. Her duer altså hverken pas, kørekort eller NemID.

Er det ikke primært her, problemet er?


Det vil være problematisk, hvis man skulle have pas eller kørekort for at legitimere sig selv, da det ikke er alle som har et pas eller kørekort. Som jeg ser det, ligger problemet i at man kan bruge sit sygesikringskort til at legitimere sig med, uden at sygesikringskortet rummer andet end ens CPR nummer. Det ligger i forlængelse af det Torben Mogensen skriver.

Hvis nu sygesikringskortet havde billede og/eller rummede information om fingeraftryk, så kunne man bedre bruge det til at legitimere sig.

  • 1
  • 1
Martin Bøgelund

Du mener ved den slags ID-numre generelt ude i verden (f.eks "social security numbers" i USA) ?

Nej.

Dansk CPR-nummer.

Ellers skal der godtnok en særdeles avanceret steganografi til at gemme mere info i de det nuværende CPR-nummer format end der allerede er.

Fra Wikipedia:
"Udenlandske adopterede børn fik i perioden 1976-1984 alle et personnummer med tallet 10 eller 11 som 7 og 8 ciffer. Indenrigsminister Britta Schall Holberg gav i 1984 tilladelse til, at folk med disse CPR numre kunne få et nyt."

Jeg ved ikke om det er sådan noget du opfatter som "særdeles avanceret steganografi"...
Det skulle være temmelig nemt at få afklaret om ovenstående er sandt, eller bare noget Wikipedia-pladder man ikke kan stole på. Bare gå i gang.

De ting jeg har hørt har været indlejret i CPR-numre, har dog været noget andet end det ovenfor nævnte. Jeg har imidlertid svært ved at påvise de ting jeg har hørt om - mange finder det grænseoverskridende at man be´r om deres personnummer, og samtidig spørger ind til personlige forhold...

Så ja - der er masser af grunde til at skrige "konspirationsteori!" efter mig. Derfor har jeg heller ikke lyst til at føre en ensom kamp for at overbevise folk her på debatten om at der er mere indlejret i visse personnumre - mest fordi jeg ikke ved det med sikkerhed.

Tag det som et rygte, og hvis andre begynder at nævne noget, kan man jo spørge ind og se om man kan stykke brudstykker sammen til noget holdbart.

  • 1
  • 0
Niels Didriksen

Dansk IT foreslår, at man i stedet for CPR-nummeret bruger NemID, indtil et bedre alternativ er udviklet

Er lidt loren ved dén detalje. Jeg ville foretrække, at man netop anvendte denne situation til netop at udvikle et bedre alternativ..

Altså at Dansk IT foreslog at man skyndte sig at fixe NemID så vi kan bruge det istedet, og i mellemtiden forbyder CPR til validering.

Vi kan alligevel ikke udskifte CPR med nemID med et knips.

  • 0
  • 0
Christian Nobel

Er lidt loren ved dén detalje. Jeg ville foretrække, at man netop anvendte denne situation til netop at udvikle et bedre alternativ..

Altså at Dansk IT foreslog at man skyndte sig at fixe NemID så vi kan bruge det istedet, og i mellemtiden forbyder CPR til validering.

Vi kan alligevel ikke udskifte CPR med nemID med et knips.

Det løser heller ikke de grundlæggende problemer:

Hvordan skal NemID fungere i den virkelige fysiske verden?

Hvordan er man egentlig sikker på at NemID (og i denne omgang lade vi lige det ligge at NemID jo slet ikke er en digital signatur, men kun single sign on) overhovedet matcher en person?

Hvordan vil man tilsikre, nu hvor CPR er ude i det fri, og hvor nok hovedparten af landets borgere bruger CPR nr som brugernavn, at der ikke laves en landsdækkende lås-NemID-efter-5-logins aktion, således at alle skal have ny NemID - og hvordan identificerer de sig så for at få et nyt password?

Da sikkerheden generelt er utrolig ringe omkring NemID, hvordan vil man sikre sig at, nu hvor CPR numrene er i det fri, at der ikke i sommerferieperioden bestilles NemID i større omfang, uden folk er klar over de er blevet misbrugt, og tyvene så stille og roligt tømmer de brevkasser som Post DK jo har beordret skal stå i det fri?

Altså brugen af NemID er ingen løsning, måske kan det endda gøre ondt virkelig meget værre.

  • 0
  • 0
Martin Bøgelund
  • 0
  • 1
Christian Nobel

Post Danmark har en løsning på dette ikke-problem:
"Post Danmark tilbyder at opbevare din post i en periode, fx mens du er ude at rejse."

Ja ja, og hvor mange tror du gør det?

Lad være med at nedgøre det til et ikke-problem - og herudover, så kunne det såmænd også godt ske uden folk var på ferie, f.eks. hvis et dygtigt "reklamebud" tager postruten efter postbuddet i dagtimerne, mens folk er på arbejde.
Og husk på er CPR numre nu er offentlig ejendom, så en tur med grovhøsteren kunne sikkert sagtens give bonus.

  • 1
  • 0
Morten Juhl-Johansen Zölde-Fejér

Det er jo lidt rart, at der sker noget, så folk faktisk LYTTER til den opfordring, som Dansk IT er kommet med gennem længere tid.
I et stykke tid fik flygtninge uden entydig fødselsdato 00 som fødselsår i CPR-rækken. Der er sikkert nogle automatiserede systemer, der har sendt dem skoleindkaldelser...
I dette tilfælde er det meget enkelt: Der skal gives et forbud mod CPR-nummer som alenestående identifikation. De virksomheder, der bruger det, har set bort fra modellens skrøbelighed og kan ikke påberåbe sig at gøre det uden at vide bedre.

  • 0
  • 0
Martin Bøgelund

Ja ja, og hvor mange tror du gør det?

Folk der ikke ønsker at komme i den situation du omtaler...?

Lad være med at nedgøre det til et ikke-problem

Det er ikke noget jeg gør det til - det er noget det er.

Folk der ikke orker bede Post DK om at opbevare deres breve under et længere ferieophold, har et problem der hedder "ugidelighed". De har ikke et problem der hedder, at deres postkasse står ude i det fri.

Og dit "smarte postbud" kan kun høste det tilsendte papkort og evt. CPR-nr. Så er der stadig dit kodeord tilbage.

Desuden kan du gå ind og slukke for CPR-nummer som gyldigt NemID-login. Log ind på nemid.nu, og deaktiver cpr-login.

Så nu har dit "smarte postbud" et papkort, som han kan bruge til... alt andet end at logge ind med dit NemID.

Hvis du behandler folk som om de hverken har arme eller hjerne, vil de bare holde op med at handle og tænke.

Der er et hav af muligheder for at undgå det ikke-problem du omtaler.

Og netop derfor er det et ikke-problem.

  • 1
  • 2
Christian Nobel

@Martin

Befinder du dig nogensinde ude i den almindelige verden, hvor hr og fru ikke-elitær bevæger sig rundt?

Det er muligvis ikke et problem for V2's læsere, men jeg ser så sandelig et potentielt problem for den meget store del af den danske befolkning der må anses for IT analfabeter - og det nytter ikke bare arrogant at påstå det er et ikke problem!

Og er der i øvrigt ikke noget med at kodeordet også sendes med Post DK (godt nok ikke samme dag, som i starten!)?

  • 1
  • 1
Søren Rønsberg

Og dit "smarte postbud" kan kun høste det tilsendte papkort og evt. CPR-nr. Så er der stadig dit kodeord tilbage.

Desuden kan du gå ind og slukke for CPR-nummer som gyldigt NemID-login. Log ind på nemid.nu, og deaktiver cpr-login.

Så nu har dit "smarte postbud" et papkort, som han kan bruge til... alt andet end at logge ind med dit NemID.

Hvis du behandler folk som om de hverken har arme eller hjerne, vil de bare holde op med at handle og tænke.

Der er et hav af muligheder for at undgå det ikke-problem du omtaler..


Fra NemId's vejledning:
"Hvis du har glemt din adgangskode, eller hvis din midlertidige adgangskode er blevet låst eller er udløbet, kan du bestille en ny midlertidig adgangskode her. Du modtager den nye midlertidige adgangskode med posten inden for ca. tre hverdage."

Man kan i øvrigt også bruge NemId nummeret som brugernavn og det står i brevet med det nye nøglekort.

Det er et stort hav, og der skal kun fejles en gang for at forlise.

  • 1
  • 0
Martin Bøgelund

Befinder du dig nogensinde ude i den almindelige verden, hvor hr og fru ikke-elitær bevæger sig rundt?

Ja. Og hvis jeg skal være helt ærlig, så tror jeg at jeg bevæger mig mere rundt i den end du gør.

At deaktivere CPR-nummer login for NemID, kræver at man logger ind og klikker på en knap.

Kan vi ikke godt blive enige om at hvis man ikke kan finde ud af at logge ind med NemID og trykke på en knap, så har man ikke meget at anvende NemID til alligevel?

Hvis det du ønsker er at ophøje absolut laveste fællesnævner til de facto standard, og dermed udelukke enhver login-procedure på internet, så har det altså ikke meget med "den almindelige verden" at gøre.

Login med NemID bliver anvendt millionvis af gange i den almindelige verden.

  • 2
  • 3
Martin Bøgelund

Det er et stort hav, og der skal kun fejles en gang for at forlise.

Jeg er slet ikke uenig.

Og jeg stiller mig ikke op og forsvarer NemID som værende det perfekte system.

Det jeg ser som et problem er at man fremhæver meget teoretiske scenarier for hvordan NemID måske kan misbruges.

Hvis NemID skal udsættes for kritik (og det skal det), så skal kritikken være konstruktiv og lødig. At begynde at buse ud med dybt fortænkte Olsen Banden-kup af papkort fører ingen steder hen i debatten.

  • 1
  • 0
Martin Bøgelund

I teorien kan man det. Men da jeg prøvede for fem minutter siden, fik jeg en 404. Så jeg ved ikke, om det blev deaktiveret.

Men i princippet kan man gøre det.

Det er korrekt at du får en 404, men det er faktisk blevet deaktiveret - det er kun din kvittering for deaktiveringen du ikke modtager.

Log ind igen og se din status - du vil se at CPR login er deaktiveret og at du nu har mulighed for at aktivere den.

  • 0
  • 0
Per Erik Rønne

Der har - ifølge rygtet og Wikipedia - også været praksis at indlejre andre og mere personfølsomme informationer i CPR-numre, end køn og alder.

Da løbenumrene naturligvis tildeles løbende (for hver fødselsdato i århundrederne 1800-tallet, 1900-tallet og 2000-talle, og naturligvis afhængig af køn), vil 'små' løbenumre indicere en person der er født her i landet, 'store' at de er indvandrere ...

Andet ligger der naturligvis ikke i det ...

  • 1
  • 1
Torben Mogensen Blogger

a løbenumrene naturligvis tildeles løbende (for hver fødselsdato i århundrederne 1800-tallet, 1900-tallet og 2000-talle, og naturligvis afhængig af køn), vil 'små' løbenumre indicere en person der er født her i landet, 'store' at de er indvandrere ...

Det kunne man for fremtidige numre ret nemt omgå ved at uddele de sidste fire cifre i tilfældig orden.

Hvad kønsskifte angår, så mindes jeg en sag for nogle år siden, hvor en transseksuel fik et nyt CPR-nummer, der passede til hans/hendes nye køn. Uanset om jeg husker rigtigt eller forkert, så burde det ikke være det store problem at indføre -- antallet af operationer er næppe så stort, at det bliver en stor administrativ byrde.

Problemet med CPR-numre uden nogensomhelst indbygget personinformation er, at det er de færreste, der vil kunne huske et nicifret tilfældigt tal -- selv om det kun er et enkelt i hele deres liv. Med det nuværende system skal man kun huske fire cifre, og det sidste endda kun med fem muligheder. Hvis det skal være helt tilfældigt, kan man (som jeg tidligere har foreslået) bruge udtalelige (men ikke meningsbærende) kombinationer af bogstaver i stedet for cifre. De fleste kan meget nemmere huske et langt volapykord end en kort cifferfølge.

  • 0
  • 0
Jørgen L. Sørensen

Det primære problem, som jeg ser det, er når man ringer til nogen, og skal have noget udført i relation til ens person. Det kan være man ringer til sin læge, uddannelsessted eller hvad ved jeg. Her duer altså hverken pas, kørekort eller NemID.

I mange tilfælde sker en telefonisk henvendelse i et "fast forhold", forstået på den måde at de to parter "kender" hindanden.

Det betyder f.eks. at lægen kan spørge mig om hvornår jeg sidst har været hos lægehuset og hvorfor, evt. supplere med et par spørgsmål mere, f.eks. hvilken læge jeg talte med. Bankmanden kan spørge til hvor jeg hævede 2.593 kr. i sidste måned, skolen kan bede mig oplyse mig navne på 3 af mine klassekammerater, eller sidste prøve-karakter osv.

Derved kan man langt hen ad vejen får en sikkerhed for at personen i røret er den som vedkommende udgiver sig for at være - og det er efter min mening mere sikkert end at stole på at "jeg er mig" ved at jeg kan opgive mit personnummer.

  • 2
  • 0
Leif Neland

I telefonen

På nettet skal man selvfølgelig bruge NemID. Ved personligt fremmøde er billedlegitimation i form af pas eller kørekort at foretrække. Det primære problem, som jeg ser det, er når man ringer til nogen, og skal have noget udført i relation til ens person. Det kan være man ringer til sin læge, uddannelsessted eller hvad ved jeg. Her duer altså hverken pas, kørekort eller NemID.

Er det ikke primært her, problemet er?

Nemid kunne også bruges over telefonen.
Lægesekretær: Deres cprnummer?
Patient: 122334-5667
-Lægesekretær taster cprnr i applikation
-Applikation skriver 4-cifret challenge
Lægesekretær: Og koden ud for nummer 4321?
Patient: 321431

Så er patienten legitimeret.

Det kræver så at man stoler på at lægesekretæren bruger applikationen, og ikke netbank og samtidig kender kodeordet.

Men bliver transaktioner ikke logget, så man kan se at nemid kode 4321 blev benyttet fra ip-adressen tilhørende Vestre Spagnum lægehus kl 9:34?

  • 0
  • 0
Janus Knudsen

Hele problemet er jo netop at det er cpr nummeret som er tillagt alt for meget.

Problemet ville være løst uden problemer vha sit navn og en secret key, som man så kunne skifte ud efter behov. Ganske elementært og ligetil.
Samme system ville også fungere istedet for Nemid.

  • 1
  • 0
Log ind eller Opret konto for at kommentere