Dette indlæg er alene udtryk for skribentens egen holdning.

Eksplosion i identitetstyverier på vej: Hvordan spærrer du dit CPR-nummer?

49 kommentarer.  Hop til debatten
Blogindlæg19. januar 2010 kl. 09:09
errorÆldre end 30 dage

I sidste uge kunne vi i Politiken læse om en kvinde, Liselotte, som havde fået sit CPR-nummer misbrugt af en ukendt, ondsindet identitetstyv. I hvad der bedst kan betragtes som en kombination af chikane og økonomisk kriminalitet, er hendes CPR-nummer blevet brugt til at bestille otte mobiltelefonabonnementer samt benzin- og videokort i hendes navn og sidst, men ikke mindst, at melde hende ind i Socialdemokratiet.

Identitetstyven har også gennemført en adresseændring hos CPR. Adresseændringen opdagede Liselotte først da hendes forsikringsselskab meddelte, at hendes forsikringer ville stige som følge af hendes flytning vil Valby. Hun har nu en løbende kamp for at blive holdt ude af RKIs register over dårlige betalere.

Liselotte er bekymret over, at hun nok har oplyst sit CPR-nummer til for mange, som sikkert har sløset med hendes data. Politiken viderebringer en opfordring fra datatilsynet om at passe godt på det. Men Liselotte, Politiken og datatilsynet er galt på den.

Der er nogen, der mener at CPR-nummeret er ondets rod og at det ikke bør være muligt at identificere en person unikt med vedkommendes CPR-nummer. Det er ikke emnet for denne blogpost. Vi må forholde os til at CPR-nummeret er kommet for at blive og det er ikke CPR-nummeret som sådan, den er gal med, set fra et identitetstyveri-synspunkt. Emnet er her, at CPR-nummeret har fået en status, som mildest talt er uholdbar.

Hvad gør du når dit CPR-nummer er blevet misbrugt?

For det første skal du opdage at dit CPR-nummer er blevet misbrugt, hvilket ikke er nemt. Liselotte ovenfor opdagede det først, da regningerne væltede ind ad døren. Man kan sige, at hun var heldig, idet adresseflytningen ikke var gennemført som noget af det første. For så ville regningerne slet ikke være kommet ind ad døren i det hele taget.

Artiklen fortsætter efter annoncen

Når en tasketyv napper din taske med tegnebogen i, vil du spærre både mobiltelefon, kreditkort og fx video-kort. Men dit CPR-nummer, som fremgår af sygesikringskortet, kan ikke spærres. Hvis tasketyven herefter vil kaste sig over den noget mere lukrative og noget mindre risikable karriere som identitetstyv, er der derfor frit slag.

Lyspunktet for dig, hvis man da kan kalde det for et lyspunkt, er, at du i det mindste nu kan være opmærksom på, at din identitet kan blive misbrugt.

Liselottes taske blev ikke stjålet og det har sandsynligvis ikke engang været nødvendigt for identitetstyven at aflæse hendes CPR-nummer på nogle papirer et eller andet sted. For det er nemt at finde frem til folks CPR-nummer med nogle få timers arbejdsindsats.

Din skostørrelse er mere hemmelig end dit CPR-nummer.
For at et tal skal kunne bruges i sikkerhedsøjemed skal det være hemmeligt og der skal være mindst 2^128 muligheder = milliarder * milliarder * milliarder.... før det er godt nok til at blive brugt i certifikater og kryptering.

Artiklen fortsætter efter annoncen

Vore CPR-numre består af seks cifre til fødselsdato og et løbenummer på fire cifre. Fødselsdatoen passer vi ikke ret godt på og er derfor nem at få fat på. Måske står den endda på din facebook-profil, det er jo så rart at få fødselsdagshilsener fra sine facebook-venner. Dermed er fortroligheden af CPR-nummeret baseret på, at løbenummerets fire cifre er ukendte for udenforstående.

Løbenummeret anses for at være personligt og skal behandles med varsomhed, fortæller både datatilsynet og diverse sikkerhedsforskrifter. Foranstaltningen er nyttesløs overfor en blot nogenlunde handlekraftig identitetstyv.

Sikkerheden i løbenummerets fire cifre må ikke forveksles med sikkerheden i de fire cifre i PIN-koden til dit dankort: Dit dankort bliver spærret efter tre forsøg på at gætte koden mens der er ubegrænsede muligheder for at forsøge at gætte på løbenummeret. Identitetstyven kan altså bare gå i gang.

Sikkerheden i løbenummeret er dårligere end sikkerheden i fx en kuffert- eller cykellås med fire tal-hjul: En kuffert kan åbnes efter maksimalt titusinde forsøg mens løbenummeret kan gættes på betydeligt færre. Det skyldes tre faktorer:

  • For folk født i år 19xx gælder der regler for hvad løbenummeret må være, der reducerer de mulige løbenumre til lidt over 5000
  • Løbenumre er enten ulige (for mænd) eller lige (for kvinder), altså har vi kun ca. 2500 kombinationsmuligheder tilbage
  • Ikke alle løbenumre er valide til en given fødselsdato. For at sikre sig mod fejlindtastninger er CPR-numre underlagt en Modulus-11 kontrol, hvilket yderligere begrænser antallet af mulige løbenumre til en tiendedel.[2]

Vi ender derfor med en liste på ca. 250 gyldige løbenumre for en given fødselsdato. CPR-numre udstedes med stigende løbenumre og i snit fødes der kun omkring firs drenge- eller pigebørn hver dag. Hvis en identitetstyv derfor kender dit navn, køn og fødselsdato, vil han i snit kunne finde dit CPR-nummer efter kun ca. 40 gæt!

Lad os sammenligne de firs mulige CPR-numre med sko-størrelser: Der er måske ti forskellige typiske størrelser af sko. Som det hemmelige tal, der skal identificere dig, er de begge nogenlunde lige elendige.

Alligevel er din skostørrelse mere hemmelig, for den kan typisk ikke verificeres online. Det kan et CPR-nummer til gengæld: Flere store C2C e-handelsites som QXL og den blå avis samt dating-sites giver adgang til CPR-verifikation. En identitetstyv vil ved at bruge disse tjenester hurtigt kunne få afklaret hvilket CPR-nummer, der er dit.

Et hemmeligholdt CPR-nummer hjælper derfor intet når en identitetstyv kender personens navn og fødselsdato i forvejen. Som borger giver det ingen reel sikkerhed at passe rigtigt godt på sit CPR-nummer.

Identitet uden autencitet.

Et CPR-nummer udpeger som sagt en bestemt borger[1]. CPR-nummeret er på sin vis borgerens identitet. Det er imidlertid en sikkerhedsmæssig katastrofe at antage at identitet (at fremvise en persons CPR-nummer) er det samme som autencitet (at den der fremviser et CPR-nummer også er* indehaveren* af det). Det sker for mange steder i dag og derfor er identitetstyveri alt for nemt.

Det eneste ekstra lag af sikkerhed, der i nogle tilfælde kræves på websites, er, at du også skal opgive det navn og/eller adresse, som hører til CPR-nummeret. Den ekstra sikkerhed fordamper som dug for solen ved en google-søgning.

Lige netop den katastrofe ser vi i dag udvikle sig med Liselotte som et af mange kommende, uforskyldte ofre.

CPR-katastrofen

Så længe der findes firmaer og myndigheder, der er villig til at indgå aftaler med folk uden at se billedlegitimation eller en sikker, digital signatur, er du uden mulighed for at stoppe misbrug af dit CPR-nummer. For du kan ikke spærre dit CPR-nummer.

Reelt burde det ikke være dit problem, for bevisbyrden ligger formelt hos dem, der indgår aftalerne på dette fejlagtige grundlag, men i praksis kan du godt forvente at skulle kæmpe en uendelig kamp.

Så hermed en opfordring til firmaer og offentlige myndigheder til ikke at acceptere CPR-nummer, hverken alene eller i kombination med navn eller adresse, som gyldigt bevis på en kundes eller borgers autencitet. For det er det ikke og I ender med at tabe penge på det.

Identitetstyveri er nemt, lukrativt og relativt risikofrit, sådan som CPR-numre bruges i dag. Vi står foran en eksplosion i identitetstyverier fremover.

[1] Der er en tilfælde hvor CPR-nummeret ikke peger på en bestemt borger, men det er så få, at jeg har valgt at se bort fra det her
[2]: Reglerne er lidt mere komplicerede men er i store træk korrekt gengivet her. Læs evt. mere her.

49 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
52
7. august 2013 kl. 23:47

Hvis man har mistanke om at ens CPR men og CVR nr bliver misbrugt, hvad gør man så? Melder det til politiet?

51
Indsendt af Thomas Hansen (ikke efterprøvet) den tor, 12/15/2011 - 14:24

Der ER en løsning på problemet med anvendelse af CPR i forbindelse med identifikation, altså hvor det ikke er nødvendigt at benytte CPR til identificering af en identitet. Den virker på helle nettet også på Cloud, men også på gaden. Det er en metode, til helt enkelt at kunne identificerer enhver identitet over internettet. Bl.a. Digitaliseringsstyrelsen er blevet informeret, det tidligere Videnskabsministerium er også informeret, CPR selv, er også informeret. Metoden er Patentanmeldt. Derfor er man sandsynligvis ikke interesseret. Måske fordi den kan danne konkurrence til den private virksomhed DanID / Netz, hvorfor man så ikke ønsker at kigge på det fra Statens side, da Staten selv har store økonomiske interesser i DanID / Netz. Bevæggrundene er uransagelige i den sammenhæng, det virker forunderligt, at Staten ikke ønsker en sådan metode, da magten i den sammenhæng er repræsenteret ved Staten, altså den magt man som identiteter søger beskyttelse under.

50
15. december 2011 kl. 13:34

Den nuværende anvendelsespraksis er en katastrofe. Men endnu større katastrofe er, at de ansvarlige myndigheder (ministre, cpr-register ect.) er fuldstændigt ligeglade med situationens tilstand. Hvis myndighedernes ligegyldighed overfor (eller manglende forståelse af) CPR-problematikken, som Peter Nørregaard beskriver i sit vigtige bloginlæg, er en indikation for deres forståelse for krav og behov i et moderne samfund, står det virkeligt sløjt til. Men det er der jo nok desværre ingen tvivl om, jf. bla. NemID-skandalen, rejsekort ect.

Mit forslag er ganske enkelt; Det skal betragtes som en unik borger-identifier, der ikke er mere hemmelig end ens addresse. Faktisk foreslår jeg, at cpr-nummeret skal listes i telefonbogen, på ens postkasse, og iøvrigt alle andre steder. Når man ringer til sit teleselskab, benzinselskab eller kommune, kan man nøjes med at oplyse det samme id alle steder. Ideen er, at det er nemmere at oplyse end sit kundenummer (som er forskellig alle steder) og nemmere at taste ind i kundesystemet end navn/addresse-kombinationen.

Jeg kan ikke se at CPR kan bruges til noget som helst andet end ovenstående. Og jeg mener at det burde være forbudt/strafbart at bruge det til andet.

Istedet skal der indføres en RIGTIG digital signatur. Meget gerne en, der kræver et enkelt personligt fremmøde, hvilket kunne afvikles iforb. m. pasudlevering/valghandlinger eller andre situationer, hvor folk alligevel alligevel identificerer sig overfor myndighederne.

Desværre skal vi nok ikke forvente for meget, for jeg opfatter som sagt de relevante myndigheders ligegyldighed overfor problematikken som symptomatisk. Der er ingen ønske om at sikre borgerne i disse sammenhænge.

49
15. december 2011 kl. 12:41

Det hører til tidens uskik at CPR numre bruges som kundenummer, selv om det ikke er tilladt. Kunne vi bare på persondataloven til at forbyde dette, så det kun er det offentlige der har adgang til CPR nr. så var vi nået et stykke.

I dag spørger bank, forsikringsselskaber m.m.f. om CPR nr. og når man siger nej, bliver de fornærmet. Du kan heller ikke få et forsikringstilbud på nettet uden CPR og det er enda på en ukrypteret linie.

Mit nytårs ønske: Ændre persondataloven.

1
19. januar 2010 kl. 09:33

Hun kan jo bare få en kønsskifteoperation :-) Det er så vidt jeg ved den eneste måde at få nyt CPR-nummer på.

Problemet som jeg ser det er, at CPR-nummeret bliver brugt som kodeord alle de stedet du nævner, men det er elendig kodeords-politik, når kodeordet på den ene side ikke kan ændres, og på den anden side skal råbes over disken til en tunghør medarbejder på rådhuset, så alle i lokalet kan høre det.

10
19. januar 2010 kl. 11:30

Et nyt CPR-nummer som Stephan nævner (eller en kønsskifteoperation som Erik forslår den stakkels kvinde) forslår som en skrædder i helvedet. Den nye identitet (fødselsdato + løbenummer) er kun hemmelige indtil koden er knækket igen - hvilket kun kræver en stjålet taske eller at en pedel finder et stykke papir i en papirkurv hos nogen, nummeret er udleveret til.

Stephan har ret når han siger at den samme identitet på tværs af systemer ikke kan undgå at blive et problem for borgerens/kundens kontrol over egne data. Han har også ret i at en hemmelig nøgle skal kunne ændres når den er blevet kompromitteret, hvilket den som udgangspunkt altid vil blive. Nu har vi dog CPR-nummeret og det bliver ikke lavet om lige med det samme.

Men det vi kan og skal gøre, er at stoppe folk i at opfatte det som en forsvarlig autenticering. Og vi bør insistere på, at nummeret ikke skal bruges af andre end det offentlige, nu hvor der er andre muligheder.

(og tak for rosen, Michael og Klaus)

2
19. januar 2010 kl. 10:12

Der er blevet tildelt CPR numre nu som ikke kan valideres med MOD11, hvilket Indenrigsministeriet har gjort opmærksom på...

5
19. januar 2010 kl. 10:26

Det er korrekt at der siden 2007 har været udstedt CPR-numre uden den begrænsning. Man kan læse mere om det i fodnote [2] i indlægget.

Men både dit, mit, vores forældres, naboers og venners CPR-numre er udstedt efter de gamle regler.

Så i praksis vil en identitets-tyv kun skulle afprøve CPR-numre som opfylder modulus 11-kriteriet. Dvs. maksimalt omkring 250 stykker og i gennemsnit finde det rigtige nummer efter blot 40 forsøg.

6
19. januar 2010 kl. 10:35

Hejsa Peter,

Fed post.

Som jeg ser det, er et af problemerne at CPR numre generelt står i AL for meget brevpost. Hvorfor skal ens bank, det offentlige, mit forsikringsselskab, SKAT og alle muligt andre absolut skrive CPR nummeret på alle sider i det brev de jævnligtsender til mig? Jeg har efterhånden opgivet at få det hele makuleret (dybest set er en almindelig makulering ikke nok..)

Hvorfor skal de absolut skrive cpr nummeret? Jeg giver dig ret i at problemet ikke er cpr nummeret - problemet er at man har sløset med det i AL for lang tid. Jeg kan ikke forstå hvorfor alle ikke bare skriver et arbitræt løbenummer på deres post som så internt i deres egne systemer refererer til mit cpr nummer. Helt ærligt - hvor svært kan det være?

/k

8
19. januar 2010 kl. 10:50

Michael og Klaus: Som Peter meget rigtigt pointerer, så er problemet ikke, at folk sløser med CPR-nummeret og skriver det alle mulige steder. Problemet er, at det ud over at fungere som ID-nummer i stort omfang bliver brugt som [i]autenticering[/i], og det er et kæmpe problem.

Når jeg kan få dit CPR nummer ved simpelthen at teste i gennemsnit 40 og max 250 numre, uden at kende andet end din fødselsdato, som står 1000 steder, er det dødsensfarligt at bruge CPR som autenticering.

Det er ufatteligt, at identitetstyveri ikke er mere udbredt, end det er!

11
19. januar 2010 kl. 11:30

Lav et site, hvor alle de steder man benytter CPR nummer som ID kommer til at stå i en liste, som folk selv kan føje til. Måske er det en dårlig idé, som kan misbruges af identitetstyve, jeg ved det ikke.

Sig til firmaer der beder om dit CPR nummer som ID, at du ikke ønsker at handle med dem.

Det er ikke et problem man kommer af med i en håndevending, men hvad er der ellers at gøre? Andre ideer?

16
19. januar 2010 kl. 14:02

Lav et site, hvor alle de steder man benytter CPR nummer som ID kommer til at stå i en liste, som folk selv kan føje til. Måske er det en dårlig idé, som kan misbruges af identitetstyve, jeg ved det ikke.

Det er en fantastisk ide. List også navne på alle ansvarlige, og se så hvor lang tid der går før de har skiftet adresse, politisk overbevisning og mobilanonnement :-)

Jeg er også sikker på det vil skabe en masse mediedækning hvis politikere fra forskellige sider af folketinget begyndte at flytte ind hos hinanden.

9
19. januar 2010 kl. 11:22

...og så har politiet fortalt flere CPR numre med tilhørende navne og nogle gange også adresser - DET syntes jeg er forfærdenligt. En offentlig virksomhed der sløser så meget med noget så vigtigt...