Prosa advarer medlemmer om CPR-login i NemID - brugte det selv

Lad vær med at bruge CPR-nummer som brugernavn i NemID, lyder det fra Prosa, som for en måned siden spredte 1.300 medlemmers CPR-numre ved en fejl. Indtil for nyligt var det oven i købet muligt at logge ind hos Prosa med blot et CPR-nummer.

På fagforeningen Prosas hjemmeside kan medlemmer nu se en opfordring til at deaktivere CPR-login på NemID. Det sker efter at fagforeningen i oktober ved en fejl kom til at sende 1.300 medlemmers CPR-numre rundt i en fællesmail til nogle af Prosas medlemmer.

Læs også: 1.300 Prosa-medlemmers CPR-numre spredt i allemail

Prosas hjemmeside kan man nu finde en advarsel om, at man bør deaktivere CPR-login på NemID, så man ikke kan bruge CPR-nummeret som brugernavn.

Advarslen er en del af den skadeskontrol, man efter uheldet har foretaget sig, fortæller Hanne Lykke Jespersen, næstformand i Prosa, til Version2. Ifølge hende er et problematisk, at man kan bruge sit CPR-nummer som brugernavn til NemID som standard, fordi CPR-numre ofte ikke er så hemmelige igen, dels på grund af CPR-læk som de selv kom til for en måned siden.

»CPR-numre er en forkrøblet ting, fordi de på samme tid bliver brugt vidt og bredt og som om, de er passwords eller brugernavne. Hjemmesiderne må selv bestemme, hvilket niveau man får adgang til med CPR-login. Men det er jo bare ens fødselsdato og et løbenummer. Det bør slet ikke kunne bruges til noget,« siger Hanne Lykke Jespersen til Version2 om brugen af CPR-nummer i forbindelse med login.

Derfor er det også paradoksalt, at Prosa indtil for nyligt muliggjorde login på medlemssider ved hjælp af lige netop CPR-nummer. Et Prosa-medlem gjorde Hanne Lykke Jespersen opmærksom på muligheden for at logge ind med CPR-nummer på Prosas hjemmeside.

At muligheden overhovedet har været der, beklager Hanne Lykke Jespersen, der fortæller, at den loginmulighed blev lukket lige så snart, hun var klar over det. Ifølge hende er det en svipser, der skyldes, at Prosa er opdelt i en politisk og en administrativ organisation.

»Det er en rigtig dårlig idé at bruge CPR-nummeret til login. Det er fuldstændigt fjollet at gøre. Det er problematisk, både når vi gør det og når andre gør det,« siger Hanne Lykke Jespersen.

Hun fortæller, at muligheden for at logge ind med CPR-nummer gav begrænset adgang til en række informationer, som herefter kunne rettes. Efter hun blev gjort opmærksom på muligheden, har hun tjekket, at der siden lækket ikke er blevet ændret informationer, som ikke skulle ændres.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Schmidt Blogger

Det er en lidt spøjs anbefaling, at man ikke bør bruge sit CPR-nummer som brugernavn, fordi det ikke er hemmeligt. Normalt anses brugernavne jo ikke for at være hemmelige. Så går anbefalingen ligefrem på, at man vælger et meget kryptisk brugernavn, som ikke kan gættes af andre?

  • 5
  • 0
#2 Anders Kjærgaard Hansen

Sad lige og skulle til at skrive samme kommentar.

CPR-nummeret er et lidt mere universielt brugernavn - og man kan måske argumentere for at man bedre kan forsøge sig med det på forskellige sites hvis man har fået fingre i en brugers kodeord.

Men hvis nogle kan forklare hvorfor CPR er dumt at bruge - så vil jeg gerne oplyses. Jeg kan ikke helt gennemskue det.

  • 5
  • 0
#3 Peter Makholm Blogger

Det er "dumt" at bruge CPR-numre, alene fordi der er mange der designer procedurer ud fra antagelsen om at CPR-numre er fortrolige. Det er altså ikke som sådan Prosas system der er en sikkerhedsrisiko, men alle de fejldesignede systemer.

Derudover øger brugen af CPR-numre mulighederne for at man kan samkøre forskellige sæt af personoplysninger og det kan mindske muligheden for at agere anonymt. Hvor vidt disse to forhold er skadelige kan diskuteres. Samkøring af oplysninger bekymrer mig ikke særlig meget, det er mit fulde navn for ualmindeligt til. Anonymitet har jeg det meget ambivalent over for.

  • 2
  • 0
#7 Rasmus Rask

Det er en lidt spøjs anbefaling, at man ikke bør bruge sit CPR-nummer som brugernavn, fordi det ikke er hemmeligt. Normalt anses brugernavne jo ikke for at være hemmelige.

Det komer an på hvad du beskytter mod. NemID låser din konto i 8 timer ad gangen ved X antal forkerte logons og CPR-numre ikke er så hemmelige endda.

Det er forholdsvis let at genere specifikke personer og endnu lettere at genere tilfældige (det er stadigvæk muligt at lave et massivt DDoS angreb, som låser alle NemID-konti, hvor CPR-login ikke aktivt er slået fra. Mit gæt er at det gælder min. 90%).

Jeg har slået mulighed for CPR-login til NemID fra. Mit brugernavn ikke er "stærkt" som et password, men det er trods alt en ekstra information man skal kende/gætte, før man kan låse min konto.

  • 4
  • 0
Log ind eller Opret konto for at kommentere