Eksplosion i identitetstyverier på vej: Hvordan spærrer du dit CPR-nummer?

I sidste uge kunne vi i Politiken læse om en kvinde, Liselotte, som havde fået sit CPR-nummer misbrugt af en ukendt, ondsindet identitetstyv. I hvad der bedst kan betragtes som en kombination af chikane og økonomisk kriminalitet, er hendes CPR-nummer blevet brugt til at bestille otte mobiltelefonabonnementer samt benzin- og videokort i hendes navn og sidst, men ikke mindst, at melde hende ind i Socialdemokratiet.

Identitetstyven har også gennemført en adresseændring hos CPR. Adresseændringen opdagede Liselotte først da hendes forsikringsselskab meddelte, at hendes forsikringer ville stige som følge af hendes flytning vil Valby. Hun har nu en løbende kamp for at blive holdt ude af RKIs register over dårlige betalere.

Liselotte er bekymret over, at hun nok har oplyst sit CPR-nummer til for mange, som sikkert har sløset med hendes data. Politiken viderebringer en opfordring fra datatilsynet om at passe godt på det. Men Liselotte, Politiken og datatilsynet er galt på den.

Der er nogen, der mener at CPR-nummeret er ondets rod og at det ikke bør være muligt at identificere en person unikt med vedkommendes CPR-nummer. Det er ikke emnet for denne blogpost. Vi må forholde os til at CPR-nummeret er kommet for at blive og det er ikke CPR-nummeret som sådan, den er gal med, set fra et identitetstyveri-synspunkt. Emnet er her, at CPR-nummeret har fået en status, som mildest talt er uholdbar.

Hvad gør du når dit CPR-nummer er blevet misbrugt?

For det første skal du opdage at dit CPR-nummer er blevet misbrugt, hvilket ikke er nemt. Liselotte ovenfor opdagede det først, da regningerne væltede ind ad døren. Man kan sige, at hun var heldig, idet adresseflytningen ikke var gennemført som noget af det første. For så ville regningerne slet ikke være kommet ind ad døren i det hele taget.

Når en tasketyv napper din taske med tegnebogen i, vil du spærre både mobiltelefon, kreditkort og fx video-kort. Men dit CPR-nummer, som fremgår af sygesikringskortet, kan ikke spærres. Hvis tasketyven herefter vil kaste sig over den noget mere lukrative og noget mindre risikable karriere som identitetstyv, er der derfor frit slag.

Lyspunktet for dig, hvis man da kan kalde det for et lyspunkt, er, at du i det mindste nu kan være opmærksom på, at din identitet kan blive misbrugt.

Liselottes taske blev ikke stjålet og det har sandsynligvis ikke engang været nødvendigt for identitetstyven at aflæse hendes CPR-nummer på nogle papirer et eller andet sted. For det er nemt at finde frem til folks CPR-nummer med nogle få timers arbejdsindsats.

Din skostørrelse er mere hemmelig end dit CPR-nummer.
For at et tal skal kunne bruges i sikkerhedsøjemed skal det være hemmeligt og der skal være mindst 2^128 muligheder = milliarder * milliarder * milliarder.... før det er godt nok til at blive brugt i certifikater og kryptering.

Vore CPR-numre består af seks cifre til fødselsdato og et løbenummer på fire cifre. Fødselsdatoen passer vi ikke ret godt på og er derfor nem at få fat på. Måske står den endda på din facebook-profil, det er jo så rart at få fødselsdagshilsener fra sine facebook-venner. Dermed er fortroligheden af CPR-nummeret baseret på, at løbenummerets fire cifre er ukendte for udenforstående.

Løbenummeret anses for at være personligt og skal behandles med varsomhed, fortæller både datatilsynet og diverse sikkerhedsforskrifter. Foranstaltningen er nyttesløs overfor en blot nogenlunde handlekraftig identitetstyv.

Sikkerheden i løbenummerets fire cifre må ikke forveksles med sikkerheden i de fire cifre i PIN-koden til dit dankort: Dit dankort bliver spærret efter tre forsøg på at gætte koden mens der er ubegrænsede muligheder for at forsøge at gætte på løbenummeret. Identitetstyven kan altså bare gå i gang.

Sikkerheden i løbenummeret er dårligere end sikkerheden i fx en kuffert- eller cykellås med fire tal-hjul: En kuffert kan åbnes efter maksimalt titusinde forsøg mens løbenummeret kan gættes på betydeligt færre. Det skyldes tre faktorer:

  • For folk født i år 19xx gælder der regler for hvad løbenummeret må være, der reducerer de mulige løbenumre til lidt over 5000
  • Løbenumre er enten ulige (for mænd) eller lige (for kvinder), altså har vi kun ca. 2500 kombinationsmuligheder tilbage
  • Ikke alle løbenumre er valide til en given fødselsdato. For at sikre sig mod fejlindtastninger er CPR-numre underlagt en Modulus-11 kontrol, hvilket yderligere begrænser antallet af mulige løbenumre til en tiendedel.[2]

Vi ender derfor med en liste på ca. 250 gyldige løbenumre for en given fødselsdato. CPR-numre udstedes med stigende løbenumre og i snit fødes der kun omkring firs drenge- eller pigebørn hver dag. Hvis en identitetstyv derfor kender dit navn, køn og fødselsdato, vil han i snit kunne finde dit CPR-nummer efter kun ca. 40 gæt!

Lad os sammenligne de firs mulige CPR-numre med sko-størrelser: Der er måske ti forskellige typiske størrelser af sko. Som det hemmelige tal, der skal identificere dig, er de begge nogenlunde lige elendige.

Alligevel er din skostørrelse mere hemmelig, for den kan typisk ikke verificeres online. Det kan et CPR-nummer til gengæld: Flere store C2C e-handelsites som QXL og den blå avis samt dating-sites giver adgang til CPR-verifikation. En identitetstyv vil ved at bruge disse tjenester hurtigt kunne få afklaret hvilket CPR-nummer, der er dit.

Et hemmeligholdt CPR-nummer hjælper derfor intet når en identitetstyv kender personens navn og fødselsdato i forvejen. Som borger giver det ingen reel sikkerhed at passe rigtigt godt på sit CPR-nummer.

Identitet uden autencitet.

Et CPR-nummer udpeger som sagt en bestemt borger[1]. CPR-nummeret er på sin vis borgerens identitet. Det er imidlertid en sikkerhedsmæssig katastrofe at antage at identitet (at fremvise en persons CPR-nummer) er det samme som autencitet (at den der fremviser et CPR-nummer også er* indehaveren* af det). Det sker for mange steder i dag og derfor er identitetstyveri alt for nemt.

Det eneste ekstra lag af sikkerhed, der i nogle tilfælde kræves på websites, er, at du også skal opgive det navn og/eller adresse, som hører til CPR-nummeret. Den ekstra sikkerhed fordamper som dug for solen ved en google-søgning.

Lige netop den katastrofe ser vi i dag udvikle sig med Liselotte som et af mange kommende, uforskyldte ofre.

CPR-katastrofen

Så længe der findes firmaer og myndigheder, der er villig til at indgå aftaler med folk uden at se billedlegitimation eller en sikker, digital signatur, er du uden mulighed for at stoppe misbrug af dit CPR-nummer. For du kan ikke spærre dit CPR-nummer.

Reelt burde det ikke være dit problem, for bevisbyrden ligger formelt hos dem, der indgår aftalerne på dette fejlagtige grundlag, men i praksis kan du godt forvente at skulle kæmpe en uendelig kamp.

Så hermed en opfordring til firmaer og offentlige myndigheder til ikke at acceptere CPR-nummer, hverken alene eller i kombination med navn eller adresse, som gyldigt bevis på en kundes eller borgers autencitet. For det er det ikke og I ender med at tabe penge på det.

Identitetstyveri er nemt, lukrativt og relativt risikofrit, sådan som CPR-numre bruges i dag. Vi står foran en eksplosion i identitetstyverier fremover.

[1] Der er en tilfælde hvor CPR-nummeret ikke peger på en bestemt borger, men det er så få, at jeg har valgt at se bort fra det her
[2]: Reglerne er lidt mere komplicerede men er i store træk korrekt gengivet her. Læs evt. mere her.

Kommentarer (53)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Erik Cederstrand

Hun kan jo bare få en kønsskifteoperation :-) Det er så vidt jeg ved den eneste måde at få nyt CPR-nummer på.

Problemet som jeg ser det er, at CPR-nummeret bliver brugt som kodeord alle de stedet du nævner, men det er elendig kodeords-politik, når kodeordet på den ene side ikke kan ændres, og på den anden side skal råbes over disken til en tunghør medarbejder på rådhuset, så alle i lokalet kan høre det.

  • 1
  • 0
#4 Michael Mortensen

Hej Peter,

Yderst interessant læsning - håber der er mange der får indblik i denne artikel. Jeg tillader mig at Tweete den, da der er MANGE virksomheder i dag (offentlige såvel som private), som spørger til de sidste 4 ciffer. Jeg har prøvet at nægte denne metode, men uden et positivt resultat.

Keep up the good work, mate!

  • 0
  • 0
#5 Peter Nørregaard Blogger

Det er korrekt at der siden 2007 har været udstedt CPR-numre uden den begrænsning. Man kan læse mere om det i fodnote [2] i indlægget.

Men både dit, mit, vores forældres, naboers og venners CPR-numre er udstedt efter de gamle regler.

Så i praksis vil en identitets-tyv kun skulle afprøve CPR-numre som opfylder modulus 11-kriteriet. Dvs. maksimalt omkring 250 stykker og i gennemsnit finde det rigtige nummer efter blot 40 forsøg.

  • 2
  • 0
#6 Klaus Agnoletti

Hejsa Peter,

Fed post.

Som jeg ser det, er et af problemerne at CPR numre generelt står i AL for meget brevpost. Hvorfor skal ens bank, det offentlige, mit forsikringsselskab, SKAT og alle muligt andre absolut skrive CPR nummeret på alle sider i det brev de jævnligtsender til mig? Jeg har efterhånden opgivet at få det hele makuleret (dybest set er en almindelig makulering ikke nok..)

Hvorfor skal de absolut skrive cpr nummeret? Jeg giver dig ret i at problemet ikke er cpr nummeret - problemet er at man har sløset med det i AL for lang tid. Jeg kan ikke forstå hvorfor alle ikke bare skriver et arbitræt løbenummer på deres post som så internt i deres egne systemer refererer til mit cpr nummer. Helt ærligt - hvor svært kan det være?

/k

  • 0
  • 2
#7 Anonym

En helt central problemstilling i diskussionen er at erkende at forsøg på identifikation både er kilden til identitetstyveri OG kilden til dårlig datasikkerhed.

Når man forsøger at identificere har man et indrulleringspunkt som per definition er sårbar fordi man 1) ikke har kontrol med de medgåede nøgler 2) man genbruger nøgler på tværs

Den værste form for sikkerhed er antaget identifikation på basis af cpr-nummer og - gud forbyde - biometri. Du kan i princippet få nyt cpr-nummer, men du kan IKKE få ny biometri, dvs. vi skal have meget skrappe krav for brugen af bioemtri i sikkerhed og de overholdes ikke i nogen af de tilfælde jeg har set i den offentlige sektor omkring sikkerhed (f.eks. pas).

Se f.eks. her for det tyske Edaka-eksemple for hvorfor det går totalt galt. http://www.youtube.com/watch?v=RYiytAVeOu0

Måden at forebygge identitetstuveri er helt at undgå identifikation og isolere sikkerhed til formålsspecifikke nøgler med et sæt af forhandlede attributer.

Dit cpr-nummer er blot en gammeldags identifier som du overfører til din digitale signatur som ikke vil have anden rolle end at agere rodnøgle for andre nøgler og så de sjældne tilfælde hvor du faktisk vil identificere.

Vi skal kort og godt gøre cpr-numre ubrugelige ved aldrig at bruge dem - selvom vi selvfølgelig skal bygge identity management på rod-identiteter som i Danmark er entydige med cpr-nummer.

Man skal dog huske at cpr-numre kan UDSKIFTES. Det er blot en sjælden og for de fleste aldrig forekommende begivenhed. F.eks. ved vidnesbeskyttelse, hustrumishandling og vi har masser af situationer hvor bevidst Identitetssvindel er klart i samfundets interesse såsom f.eks. undercover politiarbejde til at opklare bandekriminalitet.

Hvis alle politifolk som har gået på politiskolen kan identificeres med biometri, så kan kriminelle misbruge f.eks. automatisk ansigtsgenkendelse - ergo er INGEN mulighed for automatisk biometrisk identifikation en forudsætning for et demokrati.

Men ikke desto mindre ser vi en masse bananrepublikker hvor magtarrogance i embedssystemet er i færd med at ødelægge sikkerhedsstrukturerne.

  • 1
  • 0
#8 James Avery

Michael og Klaus: Som Peter meget rigtigt pointerer, så er problemet ikke, at folk sløser med CPR-nummeret og skriver det alle mulige steder. Problemet er, at det ud over at fungere som ID-nummer i stort omfang bliver brugt som [i]autenticering[/i], og det er et kæmpe problem.

Når jeg kan få dit CPR nummer ved simpelthen at teste i gennemsnit 40 og max 250 numre, uden at kende andet end din fødselsdato, som står 1000 steder, er det dødsensfarligt at bruge CPR som autenticering.

Det er ufatteligt, at identitetstyveri ikke er mere udbredt, end det er!

  • 3
  • 0
#10 Peter Nørregaard Blogger

Et nyt CPR-nummer som Stephan nævner (eller en kønsskifteoperation som Erik forslår den stakkels kvinde) forslår som en skrædder i helvedet. Den nye identitet (fødselsdato + løbenummer) er kun hemmelige indtil koden er knækket igen - hvilket kun kræver en stjålet taske eller at en pedel finder et stykke papir i en papirkurv hos nogen, nummeret er udleveret til.

Stephan har ret når han siger at den samme identitet på tværs af systemer ikke kan undgå at blive et problem for borgerens/kundens kontrol over egne data. Han har også ret i at en hemmelig nøgle skal kunne ændres når den er blevet kompromitteret, hvilket den som udgangspunkt altid vil blive. Nu har vi dog CPR-nummeret og det bliver ikke lavet om lige med det samme.

Men det vi kan og skal gøre, er at stoppe folk i at opfatte det som en forsvarlig autenticering. Og vi bør insistere på, at nummeret ikke skal bruges af andre end det offentlige, nu hvor der er andre muligheder.

(og tak for rosen, Michael og Klaus)

  • 1
  • 0
#11 Henrik Mikael Kristensen

Lav et site, hvor alle de steder man benytter CPR nummer som ID kommer til at stå i en liste, som folk selv kan føje til. Måske er det en dårlig idé, som kan misbruges af identitetstyve, jeg ved det ikke.

Sig til firmaer der beder om dit CPR nummer som ID, at du ikke ønsker at handle med dem.

Det er ikke et problem man kommer af med i en håndevending, men hvad er der ellers at gøre? Andre ideer?

  • 0
  • 0
#12 Martin Kofoed

Eller forværres bevisførelsen bare?

NemID vil blive solgt som den sikre løsning "per definition". Hvis du får problemer, skal du først bevise, at NemID ikke er sikker nok. Det MÅ jo være dig selv, der har underskrevet tinglysningspapirerne, det er DIN digitale signatur? "Den kan ikke misbruges". Det bliver et fornøjeligt opgør... Hvem har lyst til som den første at tage en battle mod NemID's advokater og en teknisk uvidende dommer?

Og vi kan vel enes om, at det er et spørgsmål om hvornår, ikke om, en NemID-konto overtages? Systemet vil blive angrebet fra alle sider og med alle midler, og man ved præcist, hvilket single point der skal angribes. Ydermere har man ingen mulighed for at træffe de nødvendige foranstaltninger selv. Jeg kan ikke selv påvirke sikkerheden af min private nøgle, det er helt og holdent i andres hænder.

Ingen tvivl om, at CPR i dag benyttes til LANGT mere, end det oprindelig var tiltænkt. Man vidste jo ikke bedre. Men der bør gøres noget snart, for det er rigtigt nok en sikkerhedsmæssig katastrofe, og vi har kun set toppen af isbjerget.

  • 1
  • 0
#13 Jens Fallesen

Vi har jo allerede slået fast, at numrene ikke kan bruges til at bevise, hvem du er, så hvorfor brokke sig over firmaer, der gerne vil bruge dem som deres interne id for dig som kunde?

Hvis alle var helt åbne omkring deres cpr-nummer på samme måde som et telefonnummer eller en adresse, ville det tværtimod blive mere tydeligt, at det ikke kan bruges som andet end en glimrende primærnøgle i en persondatabase.

I øvrigt vil jeg da mene, at indtil flere af eksemplerne i artiklen er steder, hvor man gerne bliver oprettet som kunde uden at opgive cpr-nummer. Jeg er eksempelvis ganske overbevist om, at Socialdemokratiet ikke bruger cpr-nummer – det gjorde det parti, jeg i sin tid var medlem af, i hvert fald ikke.

  • 1
  • 0
#14 Mikkel Hippe Brun

Tankevækkende Peter. Du taler om anvendelsen af en "sikker" digital signatur som et værn mod misbrug af CPR-nummeret. I Danmark er problemet (som bekendt) bare at udstedelsen af den digitale signatur sker ved fremsendelse af installationskode til din adresse. Det er mao. ikke særligt svært at få udstedt en digital signatur i en andens navn, hvis man først har fået ændret adressen. Derefter er der frit slag til at ændre forskudsopgørelsen og NemKonto mv. Med de anvendelsesmuligheder der er for digital signatur, bør udstedelsen ske ved personligt fremmøde med relevante identitetspapirer. Ligger naturligt i forlængelse af udstedelse af pas hos kommunen.

  • 1
  • 0
#15 Henrik Knopper

Helt enig!

Hvis det nogensinde har været hensigten at CPR-nummeret skulle være fortroligt så er den kamp da tabt for længe siden.

Lad os så handle ud fra det.

CPR-nummeret er en offentlig nøgle der udpeger dig entydigt blandt landets borgere. Altså er det perfekt til identifikation - så lad os endelig bruge det til det.

Det kan og bør aldrig kunne bruges til at bevise hvem du er. Men det er her kæden er hoppet af rigtig mange steder.

På trods af at cpr-numre har stået på alle papirer fra offentlige og finansielle virksomheder i rigtig mange år synes der stadig at være folk der mener at bare man kender en persons cpr-nummer, så er man denne person.

Skræmmende.

  • 3
  • 0
#16 Søren Bramer

Lav et site, hvor alle de steder man benytter CPR nummer som ID kommer til at stå i en liste, som folk selv kan føje til. Måske er det en dårlig idé, som kan misbruges af identitetstyve, jeg ved det ikke.

Det er en fantastisk ide. List også navne på alle ansvarlige, og se så hvor lang tid der går før de har skiftet adresse, politisk overbevisning og mobilanonnement :-)

Jeg er også sikker på det vil skabe en masse mediedækning hvis politikere fra forskellige sider af folketinget begyndte at flytte ind hos hinanden.

  • 2
  • 0
#17 Anonym

Henrik

Der er 2 meget forskellige problemstillinger her.

CPR-nummeret som identifier, som entydig repræsentation af en specifik borger. Problemet er at IKKE bør identificere i databaser fordi databaserne ikke kan sikres. Vi MÅ i henhold til Persondatalovgivningen ikke identificere hvis vi kan undgå det - og det kan vi med eksisterende teknologi.

CPR-nummeret som "ansvarlighedsbevis". Problemet er at det at opgive et cpr-nummer ikke er en pind værd samtidig med at ansvarlighed IKKE er det samme som upfront identifikation, tværtimod bør ansvarlighed netop isoleres til BETINGET Identifikation som først MÅ KUNNE føre til identifikation EFTER det er påvist at du har forbrudt dig mod lovgivningen.

CPR-nummeret som grundlag for at lave "effektive" system. Det er en totalt forældet tankegang som er stik mod virkeligheden. Systemer effektiviseres fordi de tilpasser sig individuelle behov under konkurrence - at flytte kontrollen fra borger til system ØDELÆGGER konkurrencemekanismerne, specifikt i den offentlige sektor.

Det er faktuelt at den offentlige sektors produktivitet er faldet år for år over de sidste 20 år (jf. f.eks. Budgetredegørende 2001 under den daværende socialdemokratiske Finansminsteriet Pia Gjellerup hvis du skulle være det mindste i tvivl)

Der er kort sagt INTET argument for at lade strå til og acceptere et generelt misbrug af cpr-nummeret. Det er datasikkerhedsmæssigt, it-sikkerhedsmæssigt og samfundsøkonomisk skadeligt.

De eneste som synes det er en god ide er dem som kun kan se til deres egen næsetip og vil fylde deres egen pengepung med andres penge og rettigheder.

  • 0
  • 0
#18 Jesper Gødvad

Ved indmeldelse i et Fitnesscenter blev jeg bedt om at udfylde diverse navn og adresseoplysninger samt cpr-nummer og min bank-konto. Da jeg spurgte om årsagen fik jeg at vide at det var nemmere for dem at tilmelde mig PBS. Hele indmeldelsesproceduren blev håndteret af en deltidsansat studerende. De fleste Version2 læsere kan sikkert se problematikken her.

Jeg kontakter så Datatilsynet for at høre om denne praksis er lovlig. Efter lidt ringen frem og tilbage får jeg fat i en jurist der fortæller at virksomheder godt må registre cpr-nummeret, så der er ingen ko på isen i forhold til dem. Han oplyser dog, at der kan være forbrugerretslige problematikker, så jeg tager herefter kontakt til Forbrugerrådet.

I Forbrugerrådet kommer jeg også, over to omgange så de havde mulighed for et grundigt svar, til at tale med en jurist. Deres holdning er, at sålænge der er tale om et gentagende køb/fast kundeforhold må virksomheden godt registrere cpr-nummeret.

Jeg spørger om de nogensinde har hørt om Michelle Brown sagen (den kan du selv Bing'e) og forklarer hvilke katastrofale konsekvenser det kan have når man først havner på sort-lister i diverse registre. Juristen i Forbrugerrådet spørger lidt retorisk 'om det ikke bare er et amerikansk fænomen' og så tænkte jeg det kunne være han havde ret i det.

Jeg ville egentlig have bragt historien i et blad, jeg engang var indvolveret i, men det skete aldrig, så nu får I den altså her.

Pointen er, at fyren i pølsevognen godt på registrere dit cpr-nummer, hvis du jævnligt kommer forbi. Der er ingen juridiske problemer i.

  • 0
  • 0
#19 Anonym

Problemet er at juristerne i Danmark er stået helt af. Checks & Balances i det instituttionelle system er nærmest brudt sammen i takt med at de er banket på plads af Finansministeriet budgetmagt (enhver som ikke makker ret for reduceret deres budgetter) og udhuling af lovgivningen ved at overføre magt fra Folketinget til ministerierne.

Embedsfolkene ELSKER at alt er på cpr-nummer så de med "Adgang-til-Data" strategien kan sammenkøre alting til deres planøkonomiske kontrolparadigme. De akkumulerende ineffektiviteter håndteres ved at reducere kvaliteten og øge skatterne.

Regnemodellerne skal fodres med tal så de kan fremskrive deres Keynesianske modeller og fortælle politikerne hvilken politik de skal føre - samme type modeller som førte til Finanskrisen eftersom det udelukkende bygger på alt-andet-lige betragtninger som brager sammen i samme øjeblik en af de mange tusinder implcitte forudsætninger fejler og parametrene skift signifikant.

  • 0
  • 0
#21 Thomas Lønskov Luther

Jeg har netop fundet ud af at en bank der benytter sig af SDC's netbank system åbenbart ikke magter at respektere og opfylde hvad de selv kalder: "Sikker email" i deres netbank. Jeg forsøgte (med success, godtnok) at skrive en mail til banken via dette "Sikker email" system. Sikkerheden gik så lige fundstændig fløjten da banken svarede tilbage. Udover at svaret kom i en plaintekst email (uden signatur) så indeholder svaret selvfølgelig mit fulde spørgsmål (ok, der var ikke noget hemmeligt i det, men det kunne der jo have været) og så er subject på mailen sørme mit CPR nummer!

Jeg har kontaktet banken for at høre om dette er praksis, for jeg mener ikke det er tilladt det de har gang i.

Desuden har jeg sendt en mail til datatilsynet for at høre deres nøjagtige holdning til dette. Desværre ser det faktisk ud til at private virksomheder har meget frie tøjler til at bruge CPR nummer emails til deres kunder, med argumentationen at det er meget mere besværligt at lave sikker email kommunikation (digital signatur, pgp eller lign) så at det vistnok accepteres at de skriver cpr nummer i mails. Omvendt mener de at det er trivielt at lave SSL kryptering af hjemmesider, hvorfor det ikke er tilladt for firmaer at anvende CPR nummer på hjemmesider hvis ikke den er ssl krypteret.

En underlig holdning syntes jeg... og mon ikke snart der er nogen der indser at CPR nummer som identifikation af en borger ikke længere er valid antagelse og at vi bliver nød til at få et andet system.

Thomas

  • 0
  • 0
#22 Peter Andersen

Desværre ser det faktisk ud til at private virksomheder har meget frie tøjler til at bruge CPR nummer emails til deres kunder, med argumentationen at det er meget mere besværligt at lave sikker email kommunikation (digital signatur, pgp eller lign) så at det vistnok accepteres at de skriver cpr nummer i mails.

Præcis. Det var også hvad jeg kom frem til da jeg undersøgte vores hr-ansvarliges praksis med at maile cpr til forsikrings- og pensionsselskaber. Det er helt ok, for de andet er for besværligt. Faktisk har jeg også svært ved at se hvordan det pt kan gøres bedre virksomheder imellem, man får jo aldrig Grethe sit forsikringsselskab til at installere en digital signatur på virksomhedens mailserver.

Hvad gør vi så.

Fax??

  • 0
  • 0
#23 Frands Hansen

Persondataloven §42, stk. 3:

Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

  • 0
  • 0
#24 Peter Nørregaard Blogger

@Mikkel, nu var det med vilje at jeg ikke skrev [i]hvilken[/i] sikker digital signatur, der var tale om - netop for at undgå DanID-emnet som er blevet diskuteret meget herinde.

Men jeg er helt enig i at en signatur bør betragtes på linje med et pas, eller endog vigtigere, for et pas kan du stort set kun bruge til hjælp med rejse væk. En nem sikring på et lidt højere niveau vil være at kræve, at folk, som har flyttet folkeregister-adresse inden for fx de sidste 3 måneder, skal melde sig i Borgerservice for at få en signatur.

  • 1
  • 0
#25 Peter Nørregaard Blogger

Barren for identitetstyveri er løftet med NemID-løsningen: Det er meget sværere at fuske med. Men den er ikke perfekt og bevisbyrden for misbrug ligger formodentlig på dig og vil være meget svær at løfte

Jeg forsøger mig med en spådom: Det er nok som dengang at biler blev udstyret med startspærre: Billigere forsikring og en umulig bevisbyrde indtil det blev anerkendt, at det var nemt at omgå startspærringen.

  • 0
  • 0
#26 Thomas Lønskov Luther

Det er muligt at det er besværligt, men jeg stiller i det hele taget meget stort spørgsmålstegn ved at systemet overhovedet har behov for at skrive MIT CPR nummer i en mail fra DEM til MIG. Min email adresse er "bekræftet" gennem deres "Sikker email" webapplikation, så der er absolut ingen grund til at de skal bruge mit CPR nummer som identifikation på den mail de sender. De kunne ligeså godt bruge mit navn som identifikation af mailen eller mit kontonummer som de jo alligevel skriver i mailen (kontonummer er det samme som brugernummer i deres system).

Så selvom loven måske giver dem lov til at sende mit CPR nummer ukrypteret så kan jeg slet ikke se berettigelsen for at de overhovedet gør det, for det har ikke nogen fordel for dem (i forhold til andre metoder).

Hvis endelig man vil lave et sikkert system at kommunikere mellem bruger og bank, så se da på fx. Jyske Banks løsning hvor alle mails til/fra rådgiver bliver sendt gennem netbanken, da netop så man har beskyttet sig med noget SSL bare for at kryptere forbindelsen en smule. Jeg kan ikke forestille mig at det ikke også er en løsning som SDC systemet kunne anvende, men det kræver selvfølgelig at de gør noget aktivt for det.

Mvh Thomas

  • 1
  • 0
#27 Ditlev Petersen

Det hedder i øvrigt rettligt et personnummer. Jeg har for ganske nylig fået ændret oplysninger i cpr via Syddjurs Kommune. Det var beskyttelse mod uønskede henvendelser fra aviser og forskere. Det kunne klares med en banal mail. De skulle ikke engang bruge mit personnummer. God service? Njaah!

Det kunnevære interessant om man også kan ændre værre oplysninger på den måde, eller de så forlanger personligt fremmøde (med hvilken legitimation?) eller en digital signatur.

Kendskab til et personnummer beviser ikke andet end, at man kender et personnummer. I øvrigt kan jeg stadig huske min gamle nabos personnummer fra 1987!

  • 0
  • 0
#28 Ditlev Petersen

Jeg læste så sent som i sidste måned et sted, måske en bekendtgørelse om følsomme registre, at det er strengt forbudt at sende personnumre ukrypteret over internettet. Der stilles dog ikke kkrav til krypteringen, så selv en Cæsar-ciffer kunne vel bruges?

  • 0
  • 0
#29 Lars Ole Belhage

Hej Drenge,

Jeg er lige blevet skilt fra kone nr 3,5,7 og 19... Her i Dubai kan vi gøre det via mobilen! (som nogen jo tror er mere mig end mit SIM-kort ;) )

Stephan har check på noget - central lovgivning om afkobling af data-sammenhænge er sagen! (spørg fx google/fet - eller pet med dig selv!)

  • eller også må vi frigøre alle data - NU!

Hilsen Lars Ole PS! - en flaske "øl" til den første der sender mig min søns cpr-nr (så vil jeg checke med kommunen om det er rigtigt!)(HINT: nej, nemmere een af mine sønners cpr-nr)

  • 0
  • 0
#30 Anonym

Lars Ole

(Hold lidt igen på svampene ;-)

Stephan har check på noget - central lovgivning om afkobling af data-sammenhænge er sagen! (spørg fx google/fet - eller pet med dig selv!)

  • eller også må vi frigøre alle data - NU!

At undgå data kan kobles er det samme som at frigøre data - det er sikkerhedsrisikoen overfor borgeren og svækkelsen af efterspørgslen som gør at man er nødt til at regulere data.

Eliminer personhenførbarheden via teknologidesign og data er frie - både juridisk, økonomisk og teknisk.

Det er så ikke helt simpelt og det er ikke i alle situationer, man kan/bør - men det skal håndteres/forhandles i situationen, ikke som en default umynddiggørelse. Det er fair nok at vi skal have bedre sikkerhed i lufthavnen, når vi ved at der er nogen som synes at have en plan om at bruge fly som bomber for at fremme en eller anden sag - men det betyder ikke at vi skal lave dårlig sikkerhed i luftenen (biometriske pas) eller andre steder (NemID).

Omkring Google/fet/Pet - der er mange interesser i at kontrollere dig, dine handlinger eller din kommunikation. Her skal du ikke glemme de store - bankerne, teleselskaberne, Identity Providers, men navnlig embedssystemet som ser det som deres store opgave i livet at træffe beslutninger på dine vegne (fordi du ikke kan selv).

Selvom de hver især har risici aspekter som skal afdækkes så er der ingen af disse som har en legitim ret/interesse i at KUNNE kontrollere dig så længe du ikke gør noget galt.

At du først begået en alvorlig forbrydelse, ændrer situationen sig. Men indtil da nej.

Det er ikke fet eller pet som skaber det umyndiggjorte overvågningssamfund - det er bureaukraters magtinteresser og kommercielles profitinteresser.

  • 0
  • 0
#31 Anonym

NemID er et skræmmende eksempel på kommcielt identitetstyveri for profit. Det er et rent man-in-the-middle attack med varig umynddiggørelse på agendaen.

For god ordens skyld, så er der INGEN lovhjemmel bag NemID, dvs. det er ulovligt at tvinge dig til at bruge NemID.

  • 0
  • 0
#33 Peter Nørregaard Blogger

Kreditinformations-firmaet Experian (kendt under varemærkerne KOB og RKI) sælger et produkt med det knap så mundrette navn [i]CPR ID verifikation/i med ordene:

Med CPR ID verifikation får du mulighed for at tjekke at din kunde eksisterer, og er den, som han udgiver sig for at være.

Det må siges at være en halv sandhed:

  • Ja, der eksisterer en kunde med det CPR-nummer og

  • Nej, du kan på ingen måde være sikker på at han er den, som han udgiver sig for at være!

  • 3
  • 0
#34 Carsten Andreasen

Det er en meget interessant diskussion, utvivlsomt af stor vigtighed, men ud over at vi brokker os her over tingenes tilstand, er der så nogen, der har en idé om, hvem eller hvilken instans, der dels er fagligt kompetent, dels har myndigheden til dels at påbegynde en ændring af praksis for brug af CPR, dels finde på en sikrere løsning for digital signatur.

Det hjælper nok ikke så meget at skrive til et folketingsmedlem, men nogen i dette forum må vel have kontakter et af de rigtige steder?

Ellers er ideen med at lave lidt ID-sjov med folketingsmedlemmerne sikkert ret effektiv, men indebærer nok nogle grimme konsekvenser for whistle bloweren.

  • 0
  • 0
#35 Peter Nørregaard Blogger

@Carsten, svindel med CPR-numre hører hører sikkert ikke til i en lette ende af svindel

Hvad kræver det, spørger du: Der kræver i hvert fald af firmaer som fx Experian/RKI holder sig til fakta i sin markedsføring. Samt at QXL.dk, DBA.dk og lignende sites husker at skrive et forbehold ind i omtalen af CPR-validerede identiteter.

For rigtigt at lykkes kræver det først og fremmest vedholdende kommunikation om ikke at forveksle identitet med autencitet.

  • 1
  • 0
#36 Ditlev Petersen

{quote]Lars Ole PS! - en flaske "øl" til den første der sender mig min søns cpr-nr (så vil jeg checke med kommunen om det er rigtigt!)(HINT: nej, nemmere een af mine sønners cpr-nr)[/quote]

Det er der utvivlsomt mange, der godt kunne gøre. På et barn findes i hvert fald moderens personnummer og i selve Cpr vist også faderens. Måske skulle man gennemtrawle det hele, hvis der ikke var et brugbart indeks, men absolut muligt for en "systemmand". Om man så lige kan finde en med en tilstrækkelig lav moral er jeg lidt i tvivl om. Risikoen for at blive afsløret? Det må guderne vide. Nok pænt under 1.

  • 0
  • 0
#37 Anders S. Johansen

I oktober 2007 kørte den samme diskussion her: http://www.version2.dk/artikel/4441-danskernes-cpr-numre-flyder-paa-nett... og intet har ændret sig.

Dog! - Noget har ændret sig - Nul tolerance og ubetinget fængslestraf politikken er født.

Derfor, lav en lov der giver minimum 7 dages fængsel til medarbejdere i virksomheder der anvender personnummer til autenticering - det skal nok hjælpe /asj

  • 1
  • 0
#38 Peter Nørregaard Blogger

Intet har ændret siger du, Anders. Det er ikke rigtigt: Der er kommet flere rapporter om identitetstyverier som dermed lader til at blive mere hyppige. Desuden er det blevet nemmere at afsløre løbenumre, hvilket tidligere var svært, takket være den CPR-validering, som tilbydes på flere sites (QXL, DBA, ...).

Men er det nødvendigt med en frihedsstraf? Straffen ved at tabe penge er vel reel nok og burde motivere. Undtagelsen er fx DBA som kun formidler kontakt og troværdighed gennem CPR-validering

  • 0
  • 0
#39 Anonym

Det som først og fremmest har ændret sig er at embedsssytemet gennemtvinger identifikationer stadigt flere steder og skaber monopolkonstruktioner som afpresser ressten af samfundet ind i den type usikrede interaktioner.

NemId, NemLogin, Borger.Dk og DokumentBoks er alle eksempler på stærkt fejldesignede konstruktioner hvor resten af samfundet påtvinges en stiv forældet forvaltningstilgang baseret på single-point-of-failure konstruktioner med gabende sikkerhedshuller.

I stedet for at lade behovet og dynamiske tilgange bevæge sig fra markedet ind i den offentlige forvaltning, så bureaukratieres og ineffektiviseres hele samfundet samtidig at vennerne af bureaukratiet profiterer og sikkerheden undermineres.

Men staten "afbureaukratiserer" når de med eIndkomst flytter magt fra borger til SKAT og staten "afbureaukratiserer" når de fjerner værn mod suboptimering i den offentlige sektor. Det er spin og arrogant magtmisbrug.

  • 0
  • 0
#40 Anders S. Johansen

Det kan nemt tænkes at misbruget er steget; men det har ikke ændret på politikeres, IT-professionelles og "folkets" holdning - ingen gør noget!

At tro at der er nogen som helst sikkerhed i de fire sidste cifre i CPR-nummeret er komplet latterligt og uansvarligt.

CPR-nummeret er en entydig identifikation af en person med opholdstilladelse i Danmark - hvis man kan dokumentere retten til nummeret.

Du opnår jo heller ikke retten til en bil selv om du møder op med dens nummerplader - vel?

Indtil vi som samfund indser dette og handler derefter er vi så meget til grin at det burde være strafbart. "Dummere end politiet tillader".

/asj

  • 1
  • 0
#43 Deleted User

CPR nummeret er ikke sikkert. Sygesikringsbevis, og pas kan stjæles. Udseende, ligner ikke mere det på fotoet. Underskrift, kan læres, og kopieres. Hvordan skal vi have sikker identifikation? Selvom vi kan forhandle et individuelt kodenummer hos den pågældende virksomhed eller bank, så har vi jo alligevel brug for identifikation, når vi eksempelvis opretter en konto - så de ved, at vi er os. Selvom vi angiver postaddresse, så er det ikke sikker identifikation, da en anden, måske kan tømme vores postkasse, eller tage imod posten for os.

Hvordan skal identifikation gøres sikkert? Vil man ikke altid, kunne stjæle et identifikationskort, aflure koden, og derved identificere sig som os? Hvis en tyv, vælger en der ligner lidt - risikerer vi så, at blive betragtet for bedrageren, og tyven, for den "ægte"? Hvordan skal vi sikre os, at vi faktisk har fat i den rette - og ikke i kopien?

  • 0
  • 0
#44 Anonym

Ovenstående dialog rummer mange isolerede betragtninger i et af vores mest kritiske problemstillinger overhovedet.

Identitet er vores mest sårbare infrastruktur fordi det både er så værdifuldt at bryde/kontrollere og fordi det er et brugsredskab i mange forskellige sammenhænge.

Det kræver at man skifter fra den forældede en-strengede tankegang om cprnummer (tanken om entydig identifikation) til en defense-in-depth strategi hvor kun de nødvendige dele af identitet eksponeres mens rodnøglerne beskyttes stærkt med flere lag af sikring (afhængig af hvor dybt en angriber trænger ind).

Princippet er imidlertidigt langt simplere end at opretholde principperne når man implementerer. Det kan reduceres til 3 operationelle principper.

a) Aldrig genbruge identifiers og nøgler på tværs af kontekst.

Hvis du vil sikre id, så undlad at genbruge id og nøgler, so simple. Genbrug af Id skaber altid nye risici for angreb, skalering af angreb og svækker forsvaret.

Det nylige eksmpel hvor en identitet blev nærmest totalt overtaget fordi de etablerede kontrol med vedkommende Google-konto er et trist eksempel på hvad manglende isolering betyder.

Men so hard, fordi det netop kræver at man/du har værktøjer til at håndtere mange nøgler.

(Og her rammes du af at dem som laver systemerne fokuserer på deres kommercielle eller anden kontrol af dig istedet for at sikre din kontrol. F.eks. Nemid og antagelsen af altid online identifikation - det vil sætte os årtier tilbage hvis det ikke stoppes nu.)

b) Revocation og Recoverability på alle niveauer.

Enhver nøgle og mekanisme skal i princippet kunne tilbageføres isoleret og systemet overleve selv de værste brud.

Men der er mange angrebsscenarier på mange niveauer, så det er ikke simpelt. F.eks. må andre aldrig kunne udlede nøgler af biometriske data fordi de ikke kan sikres og man samtidig forbryder sig mod det første princip.

Revokering af dine devices til håndtering af din kontrol vil altid være det mest kritiske fordi dybdeangreb med mange ressourcer vil gå efter at overtage rodidentiteten istedet for blot en nøgle til et specifikt formål.

Eksternt skal man kunne blokere for nøgler på præcis deres niveaeu hvor de fleste kun vil dreje som deres specifikke domæne. Det kræver en masse nuacner fordi det sker på mange niveauet og i mange dimensioner, f.eks. har du kreditlimit på mange niveauer både af økonomiske og sikkerhedsmæssige årsager.

Eksempel på en af de mest sensitive er "blacklisting" af DNA efter en forbrydelse hvor DNA er fundet på et gerningssted og hvordan man sikrer dette uden at forbryde sig mod de første principper. Jeg var i DR Orientering herom men det er reduceret til en meget populær forståelse. http://www.dr.dk/P1/orientering/indslag/2010/01/26/165134.htm

c) Lægge ansvaret og kontrollen det rette sted.

Hvis du skal være ansvarlig overfor en handling så skal du også have kontrollen - og det indebærer først og fremmest kontrollen over revocation.

(F.eks. skal nøgledevices - udover at have specifik authentificering til nøgledevicen selv med både bioemtriske og ikke-biometriske mekanismer - by design kunne lukkes fuldstændigt ned af dig i tilfælde af tyveri/tab - fuldstændigt indebærer at vi end ikke stoler på tamper-resistense som andet end en forsinkelsesmekanisme. Men nedlukningsmekanismen skal overholde både det første og det andet princip. )

Omvendt - har du kontrollen så skal ansvarligheden ved brud også ligge hos dig, men det kan man først når du faktisk har værktøjer som ikke er nemme at omgå for en angriber.

Vores mareridt er omvendt bevisbyrde, hvor andre har brudt din sikkerhed mens du - for at opretholde "tilliden" til systemet - afkræves bevis for at det ikke var dig.

Omvendt er det tilsvarende kritisk at du / vi helt kan dumpe identitet i worst case scenarier. DNA-revocation må altså kunne kunne validere, men aldrig kontrollere identitet.

Afslutingsvis - "overvågning" sikrer ikke noget mod noget - det er blot en form for angreb og indbygget sårbarhed som fører til flere og mere alvorlige angreb.

En vigtig lektie - ikke mindst med reference til diskussionen om "de ustryrlige offentlige it-projekter" - er at vi ikke hverken kan eller skal gå efter det "ultimative" Borgerkort.

Det bør i stedet ses som en gradvis process, hvor knudepunkternes åbnes, systemerne orienteres mod borgerne, de semantiske meta-standarder modnes og teknologi/brugervenlighed i selve device-teknologien modnes.

Først skridt er selvfølgelig at undgå at skyde sig selv i foden med konstruktioner a la PBS, Nemid og ICAO Pas som alle i sikkerhedsmæssig forståelse er de rene dinusauer - men fordi der ligger magt og stærke interesser bag styrer og hærger de forældede magtkonstruktioner.

  • 0
  • 0
#45 Andreas Olsen

Virksomheder der har adgang til CPR-systemet, køber en adgang på virksomhedsniveau. Det betyder at medarbejdere som skal tjekke personer i CPR-systemet ikke er unikt identificerede, da flere medarbejdere kan anvende den samme virksomhedsadgang til CPR-systemet.

Derfor er det jo nemt for medarbejdere at tjekke personer, uden at nogen ved hvilken medarbejder som rent faktisk har været inde og "snage".

Det udgør et problem mht. identitetstyveri hvis der er "langfingrede" medarbejdere og umuliggør, som forslået ovenfor straf til medarbejdere, som ikke behandler personoplysninger fortroligt

  • 1
  • 0
#47 Deleted User

a) Aldrig genbruge identifiers og nøgler på tværs af kontekst.

Hvordan skal vi så indentificere os første gang? Da har vi jo intet indentifikationsbevis det pågældende sted. Vi må have en måde, vi kan første-gang identificere os, så de ved, at vi er os. Det kan være lidt svært, hvis vi ikke må genbruge identifikationen. Skal vi henvende os til CPR registeret hver gang vi skal første-gang identificeres et sted, og der få udstedt et engangsidentifikationsbevis, vi kan bruge til første-gangs identifikation?

Eller, skal vi identificere os, alene udfra vores glatte ansigt?

  • 1
  • 0
#48 Anonym

Jens

Jeg kan ikke lade være med at citere Einstein her

We can't solve problems by using the same kind of thinking we used when we created them

Hvem i alverden siger at du skal "første-gang identificere os, så de ved at vi er os"?

Essensen af den nærværende problemstilling er at undgå at identificere eller forsinke / isolere fordi det er den eneste måde at beskytte cpr-systemet som er det eneste system, du "indrullerer" i.

Det relevante spørgsmål at stille er det stik modsatte.

  • 1
  • 0
#49 Peter Helms

Det hører til tidens uskik at CPR numre bruges som kundenummer, selv om det ikke er tilladt. Kunne vi bare på persondataloven til at forbyde dette, så det kun er det offentlige der har adgang til CPR nr. så var vi nået et stykke.

I dag spørger bank, forsikringsselskaber m.m.f. om CPR nr. og når man siger nej, bliver de fornærmet. Du kan heller ikke få et forsikringstilbud på nettet uden CPR og det er enda på en ukrypteret linie.

Mit nytårs ønske: Ændre persondataloven.

  • 2
  • 0
#50 Niels Didriksen

Den nuværende anvendelsespraksis er en katastrofe. Men endnu større katastrofe er, at de ansvarlige myndigheder (ministre, cpr-register ect.) er fuldstændigt ligeglade med situationens tilstand. Hvis myndighedernes ligegyldighed overfor (eller manglende forståelse af) CPR-problematikken, som Peter Nørregaard beskriver i sit vigtige bloginlæg, er en indikation for deres forståelse for krav og behov i et moderne samfund, står det virkeligt sløjt til. Men det er der jo nok desværre ingen tvivl om, jf. bla. NemID-skandalen, rejsekort ect.

Mit forslag er ganske enkelt; Det skal betragtes som en unik borger-identifier, der ikke er mere hemmelig end ens addresse. Faktisk foreslår jeg, at cpr-nummeret skal listes i telefonbogen, på ens postkasse, og iøvrigt alle andre steder. Når man ringer til sit teleselskab, benzinselskab eller kommune, kan man nøjes med at oplyse det samme id alle steder. Ideen er, at det er nemmere at oplyse end sit kundenummer (som er forskellig alle steder) og nemmere at taste ind i kundesystemet end navn/addresse-kombinationen.

Jeg kan ikke se at CPR kan bruges til noget som helst andet end ovenstående. Og jeg mener at det burde være forbudt/strafbart at bruge det til andet.

Istedet skal der indføres en RIGTIG digital signatur. Meget gerne en, der kræver et enkelt personligt fremmøde, hvilket kunne afvikles iforb. m. pasudlevering/valghandlinger eller andre situationer, hvor folk alligevel alligevel identificerer sig overfor myndighederne.

Desværre skal vi nok ikke forvente for meget, for jeg opfatter som sagt de relevante myndigheders ligegyldighed overfor problematikken som symptomatisk. Der er ingen ønske om at sikre borgerne i disse sammenhænge.

  • 1
  • 0
#51 Anonym

Der ER en løsning på problemet med anvendelse af CPR i forbindelse med identifikation, altså hvor det ikke er nødvendigt at benytte CPR til identificering af en identitet. Den virker på helle nettet også på Cloud, men også på gaden. Det er en metode, til helt enkelt at kunne identificerer enhver identitet over internettet. Bl.a. Digitaliseringsstyrelsen er blevet informeret, det tidligere Videnskabsministerium er også informeret, CPR selv, er også informeret. Metoden er Patentanmeldt. Derfor er man sandsynligvis ikke interesseret. Måske fordi den kan danne konkurrence til den private virksomhed DanID / Netz, hvorfor man så ikke ønsker at kigge på det fra Statens side, da Staten selv har store økonomiske interesser i DanID / Netz. Bevæggrundene er uransagelige i den sammenhæng, det virker forunderligt, at Staten ikke ønsker en sådan metode, da magten i den sammenhæng er repræsenteret ved Staten, altså den magt man som identiteter søger beskyttelse under.

  • 0
  • 0
Log ind eller Opret konto for at kommentere