Fingeraftryk er identitet

I torsdags var det endelig tid til at besøge blodbanken efter et par måneders karantæne. På grund af patientsikkerhed skal en portion blod kunne spores tilbage til donoren. For at være sikker på at man kan dette har der altid været to ansatte på tappesteder der har skulle tjekke at donerens CPR-nummer var anført korrekt på posen med blod.

Siden mit sidste besøg har man erstattet denne procedure med en fingeraftryklæser. Mit fingeraftryk blev skannet og fremover bliver tappepersonalet fri for at skulle kontrollerer hinanden. Selvfølgelig jokkede jeg lidt med at når mit fingeraftryk engang bliver stjålet, så kan jeg vel bare få et nyt...

Jeg har aldrig opfattet blodbankens brug af CPR-nummer som andet end identitet. Det problem blodbanken forsøger at løse er ikke folk der snyder sig til at donerer blod under en anden identitet og derfor har jeg heller ikke haft nogle kvaler ved proceduren. Efter min mening opfylder fingeraftrykket fint det samme behov.

Men jeg kan ikke lade være med at tænke på om vi kommer til at gentage problemet med CPR-nummeret. Det er nu vi skal blive enige om at fingeraftrykket er den vi er og ikke noget vi har.

Læs også Dustin Kirklands blogindlæg om emnet.

Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Nielsen

Jeg har i hvert fald altid moret mig over tanken om, at en af [defacto] hovedreglerne er at man regelmæssigt skifter sit kodeord og ikke bruger det samme kodeord flere steder. Dér falder fingeraftrykket i hvert fald igennem. For bliver det kompromiteret, er man godt nok på herrens mark.

Mere alvorligt, så er een ting jo den mere eller mindre manglende unikhed ved fingeraftryk og anden biometri, et helt andet er jo selve teknikkens ufejlbarlighed. Hvis en biometriscanner fejler, hvad så? Når man på et hospital bliver spurgt om man hedder som man hedder og om CPR-nummeret er korrekt, så er mulighederne for fejl minimale og der er fuld gennemsigtighed. Hvis fingeraftryk med en eller andet given kombination af karakteristika forårsager en referencefejl i et datasystem, så bliver det næppe opdaget før fejlen selv forårsager en kritisk situation videre i forløbet.

  • 2
  • 0
Torben Mogensen Blogger

vil nok frabede sig, at fingeraftryk bruges som identitet.

Uanset hvilken biometrisk identifikator, man bruger, så kan der være mennesker, som enten mangler denne: Man kan mangle hænder, øjne osv, og der findes mennesker, der har to sæt DNA. Det kaldes chimeraisme. Dertil kommer, at der kan være usikkerhed i biometriske målinger.

Så selv om biometri (med visse begrænsninger) kan bruges som legitimation, er det ikke godt som universel identifikation. Her vil en konstrueret entydig kode som f.eks. CPR være langt bedre. Men man skal blot huske, at kendskab til en sådan kode aldrig bør bruges som legitimation.

  • 6
  • 0
Per Friis

Vi kan aldrig være 100% sikre på at den person der har identificeret sig over for os, uanset hvilken måde personen gør det på, er den person som identifikationen tyder på.
Vi kan dog have mere eller mindre formodning om at det er korrekt.
En entydig kode (UUID) til alle er nok den metode der er letteste at snyde med!
Så må vi håndtere Kaptain Klo på en anden måde (han er nok alligevelle ikke pålidelig når han giver sit nummer)

  • 0
  • 1
Torben Mogensen Blogger

Vi kan aldrig være 100% sikre på at den person der har identificeret sig over for os, uanset hvilken måde personen gør det på, er den person som identifikationen tyder på.

Du blander legitimation og identifikation sammen: Identifikation er en entydig nøgle til en person, hvor alle personer har en nøgle og to forskellige personer har forskellig nøgle. Legitimation er et forsøg på at overbevise en modpart (person eller maskine), at man er den person, der har en specifik nøgle.

Identifikation kan sagtens være offentlig: Du kan slå nøglen op i en database og få navn og adresse på den tilknyttede person. Det er der i sig selv ikke nogen sikkerhedsrisiko ved, idet kendskab til nøglen ikke bruges som legitimation.

Legitimation er der, hvor sikkerhed kommer ind i billedet: Det skal være så tæt som muligt på umuligt for andre end personen selv at påstå, at man har den specifikke nøgle, der hører til en person.

  • 6
  • 0
Jarle Knudsen

Biometri generelt er en analog-til-digital konvertering af "data" og hermed vil altid være behæftet med to type fejl:
- false negative/false reject
- false positive/false accept

Hvor den første fejl er knap så farlig i de fleste tilfælder (kategori 1), er den anden bestemt ikke da en person bliver identificeret som en anden. Her er to eksempler:
- hospital: en patient dør pga. forkert medicin / dose
- bank: man får lænset sit konto fordi en anden kunde blev identificeret som en

I kan finde på flere skrækscenarier...

Biometri alene kan ikke og skal ikke bruges til effektiv identificering.

  • 1
  • 0
Thomas Nielsen

Jeg kom forresten lige i tanke om en skæg anekdote fra dengang for 10 år siden, hvor man på Bornholmstrafikken indførte fingeraftryksscanner til pendlere. Her fejlede flere rejsendes fingeraftryk fordi aftrykket var slidt for langt ned, bl.a. keramikere og murere.

  • 2
  • 0
Anonym

Jeg ser nu ikke noget problem i at anvende et fingeraftryk til identifikation, sålænge det ikke bliver brugt til at verificere identiteten. Jeg er også varm tilhænger af at vi gør op med vores CPR numre, som ikke bør være hemmelige (og fejlagtigt brugt som verifikation).

Vi er ude i problemer hvis man tror at fingeraftrykket er nok til at stå alene, men til identifikation er det ganske udemærket, og meget mere "sikkert" end et sundhedskort med en magnetstribe.

  • 1
  • 0
Knud Jensen

CPR har efter min mening været totalt ubrugeligt som indentitet i mange år, det er simpelthen alt for nemt at få fat i andres.

Undrer mig lidt at de er begyndt med fingeraftryk. Var hele meningen med NEM-ID ikke at vi kun skulle have ét login til hele det offentlige? Hvor man kan logge ind overalt, ikke kun de steder hvor der er sat specielt hardware op til det(fingeraftrykslæser).

Må ærligt sige jeg har har været i en blodbank. Men gætter på der kan flere typer.
Hvis man ikke får penge for at donere blod, hvorfor skulle nogen så begå identitetstyveri for det? En simpel identifikation burde her være godt nok.
Hvis man derimod får penge for det, så kunne der være folk som ville snyde, men dette kunne nemt løses ved kun at have én mulighed for udbetaling, nem-konto, ud fra den indentitet som blev logget ind med.

Fingeraftryk som generel identifikation ser jeg ikke som fornuftigt. der er alt for mange mennesker som ville have bøvl med det. Nogle slider deres af i form af deres arbejde, andre har bare beskidte hænder. Og der skal ikke mange spildte minutter til før andre folk i køen bagved bliver irriteret over at én enkelt person ikke kan få maskinen til at læse sin finger.

  • 0
  • 3
Torben Mogensen Blogger

Igen jeg ser det ikke som et problem hvis du blot antager at dit fingeraftryk eller cpr, ikke er anderledes end dit navn/brugernavn.

Det identificerer dig - det verificerer dig ikke.

Det er jeg så uenig i: Et fingeraftryk har en del ulemper som identifikation (entydig nøgle): Det er ikke læsbart uden udstyr (modsat en alfanumerisk kode), og den er tæt nok på at være legitimation til, at man aldrig kan få overbevist folk om, at det ikke er nok. Identifikatoren bør ikke indeholde noget som helst biometrisk information, og den bør være helt offentlig. Dermed er det klart, at der skal mere til end kendskab til denne for legitimation.

  • 2
  • 0
Peter Makholm Blogger

CPR har efter min mening været totalt ubrugeligt som indentitet i mange år, det er simpelthen alt for nemt at få fat i andres.

Du forveksler "identitet" med "authentificering".

Identitet er bare dit navn i et givet system. En identitet er ikke altid entydig og i nogle systemer kan samme fysiske person have flere identiteter. På Version2 er din identitet både "Knud Jensen" (ikke entydig) og din email du bruger til at logge ind med. En identitet er som udgangspunkt ikke hemmelig, nærmere tværtimod.

Må ærligt sige jeg har har været i en blodbank. Men gætter på der kan flere typer.
Hvis man ikke får penge for at donere blod, hvorfor skulle nogen så begå identitetstyveri for det? En simpel identifikation burde her være godt nok.

Mangler der et "aldrig" i første sætning? Den anden sætning forstår jeg ikke.

Det danske donorsystem er frivilligt og ubetalt. Jeg kan derfor ikke få øje på et økonomisk incitament til at give blod under en forkert identitet. Jeg kunne nu godt forestille mig at nogen kunne finde på det som civil ulydighed som protest mod krantænereglerne (jeg ved faktisk ikke om man bliver flagget hvis man af en eller andne grund bliver opdaget). En anden, og forhåbentligt meget tænkt, grund kunne være et forsøg på dirkete at angribe tilliden til sikkerheden i det danske donorsystem.

Men som jeg netop skriver i blogindlæget, så er jeg enig i at behovet i blodbanken først og fremmest er identifikation og ikke authentifikation. Sikkerheden ved donorsystemet er baseret på en screening af blodet, tilliden til den enkelte donor er mest en pre-screening så man hurtigt og uden gener får sorteret donorer med en øget sandsynlighed for ikke at opfylde kvalitetskravet fra.

(Denne risikovurdering er ikke helt ukontroversiel, men det er slet ikke on-topic her på version2)

  • 0
  • 0
Mogens Hansen

Jeg har stadig ikke forstået hvad det er, blodbanken opnår ved denne procedure. Der tales om "sikkerhed mod forbytninger" - men hvor i processen er det, man opnår denne sikkerhed? Det kan da i hvert fald ikke være en sikring mod forbytning af blodet når det først er tappet.

Jeg spurgte en gang i blodbanken, hvor tit de havde oplevet forbytninger siden de havde valgt at ændre procedure. Svaret var: "Aldrig".

Så jeg kan ikke lade være med at overveje, om man fra blodbankens side har indført en massivt invasiv procedure for at løse et ikke-eksisterende problem.

  • 2
  • 0
Klaus Slott

Uden at tage stilling til brugen af fingeraftryk synes jeg det godt at blodbanken sikrer sig det tappede blod er mærket rigtigt. Det leverede blod bliver testet for alskens sygdommen, det ville være uheldigt at ringe tilbage til den forkerte donor og indkalde vedkommende til læge check pga noget fundet i screeningen.

Jeg havde selv været donor i adskillige år, da jeg jeg fik et brev om at de gerne ville se mig på hospitalet til ekstra kontrol. Jeg havde en rimelig ubehagelig uge, indtil nye blodprøver viste det var falsk alarm.

  • 0
  • 0
Log ind eller Opret konto for at kommentere