CPR nummer != hemmelig kode

CPR nummeret er basal set en talvaerdi, som peger paa en unik person. At man bredt tror at et CPR nummer kan bruges som en hemmelig kode er et problem. At offentlige systemer bruger CPR numre som hemmelige koder er katastrofalt. F.eks bibliotekerne, hvor ens pin kode default er de sidste fire cifre i CPR nummeret. Den kunne ing.dk godt tage fat i.

I sandhed rystende læsning

Hvem kunne have forudset, at det var en dårlig idé med et kodeord, som aldrig kan ændres, som man skal udlevere på forlangende af myndigheder og virksomheder og som er påtrykt sygesikringskort og alverdens korrespondance?

I øvrigt kan man jo bare få en kønsskifteoperation, hvis man har brug for at skifte CPR-nummer. Big deal.

Re: CPR nummer != hemmelig kode

Hvis vi vender den om og siger at CPR nummeret skal være frit tilgængeligt, og jeg kan give det til hvem jeg vil, så skal vi have noget andet i stedet.

Problemstillingen ligger ikke i selve CPR nummeret, det ligger i hvad man kan med den information alene (ny fødselsattest, skifte adresse, nyt pas m.v.)

Diskussionen bør derfor ikke være hvad der er galt med CPR (for det er helt galt). Vi bør fokusere på hvad alternativet skal være.

Re: CPR nummer != hemmelig kode

Et alternativ er nødvendigt, for pt er alt hvad der står i vejen mellem et CPR-nummer og misbrug bare et menneske. Fx en ekspedient som egentligt burde se billedlegitimation til at dokumentere det oplyste CPR-nummeret før quicklånet bliver oprettet, men hvor køber "desværre lige har glemt det derhjemme" og som derfor vælger at få salget i hus i stedet for at afvise det.

Det er da NEMt....

CPR nummeret er blot et mere entydigt 'offentligt' navn på en person end de navne pågældende har fået af sine forældre.
Idag er det ren og skær SJUSK og MANGLENDE OMHU at det offentlige, institutioner eller virksomheder - på IT eller ved 'skranken' - overhovedet tillader handlinger gennemført alene baseret på CPR nummeret, uden en tilhørende hemmelig kode ved siden af. Det offentlige kan jo bare kræve nemID identifikation ved anmeldelse af flytning, nyt pas, attester og andre kritiske identitets handlinger - det er jo meget sikkert, siger Nets!

Re: CPR nummer != hemmelig kode

Der er helt klart forskel på identifikation og legitimation. Ideen om at CPR er hemmeligt, og kan bruges til legitimation, var problematisk allerede da CPR-nummeret blev indført, og det er ikke blevet bedre med tiden.

Så tiden er måske inde til at gøre CPR-numre offentlige (på linje med telefonnumre og adresser) og samtidigt slå fast, at det ikke kan bruges til legitimation. Legitimation bør være biometrisk. Et portræt er en simpel form for biometrisk information, men bør i fremtiden suppleres med mere, hvis det skal bruges i situationer, hvor nogen kunne have signifikant (f.eks. økonomisk) fordel ved at udgive sig for en anden.

Digitale signaturer, NemId og lignende kan i et vist omfang bruges, men hvis en bruger melder om misbrug, skal tvivlen komme denne til gode, og der skal straks udleveres en ny signatur/kode. Et af problemerne med CPR er, at man ikke kan få et nyt, hvis det bliver misbrugt.

Modus 11

1 oktober 2007 blev modul 11 tjek summen udfaset af nye personnumre. Dvs der er (teoretisk) 500 til hvert køn.

De 270 er begrænsningen i Modus 11. Ikke at det flytter noget i debatten, men artiklen er da ikke specielt gennemarbejdet.

//Simon Kongsted

Se yderligere: http://cpr.dk/cpr/site.aspx?p=...4347

Dynamisk tildeling af identitetsoplysnin

Man kan tildele identitetsoplysninger dynamisk. Altså uden et statisk nummer.
CPR er i realiteten et identifikationssystem, som i de goe gamle arkivskabes tid, var ganske udemærket.

Tildeler man identitetsoplysningerne dynamisk, fjerner man muligheden for at en misbruger kan sikre sig, at identitetsoplysningerne er valide.
Det er CPR blevet tilbudt en løsning på, netop med baggrund i misbruget og identitetstyverierne, som stilles til rådighed gennem det statiske CPR-system.

CPR mener dog ikke selv, at der er et problem med CPR, og ser ikke at der er behov for et alternativ.

Re: Modus 11

Enig. Men en god del af den befolkning, som det er sjovt at identitetsrøve er født før 2007.

(Og 500 er stadig ikke mange....)

Re: Modus 11

Så vidt jeg ved er der pr. 2011 i alt udstedt 7(!) CPR-numre som ikke overholder modulus 11- kontrollen.

Så 270 er en øvre grænse - det korrekte tal er nærmere på 225-230 styk. De er oven i købet uddelt i rækkefølge, så de 80 første numre i serien er nærmere realiteten.

Identitetstyveri er et dårligt ord

Ordet "Identitetstyveri" er dårligt fordi det får os til at tro at hændelsen har noget at gøre med forbugeren og at det ovenikøbet er forbrugerens skyld og at denne skal gøre et eller andet for at rette op på situationen.

Hvis en eller anden går ind i en bank og får udleveret 10.000 KR ved at bruge mit CPR nummer er det jo bare et avanceret bankrøveri. Jeg er ikke involveret og det er ikke min skyld at banken har været dum og mistet 10.000 kroner. Det burde ikke være mit problem!

Det er forfældeligt uretfærdigt når uskyldige mennesker derefter kaldes i retten og registreres som dårlige betalere!

Er der brug for ny lovgivning for at beskytte os forbrugere mod inkompetente firmaer?

Er er nogle som kan finde på et bedre ord end "Identitetstyveri"?

Hvad med identitetssnyd? identitetsbedrageri? De antyder jo ikke at et menneske har mistet sin identitet.

Mvh
Steen

appropos CPR-sikkerhed

Da jeg i start 00'erne var teenager, og man skulle ind steder hvor man ikke liiige, var helt gammel nok, kunne man låne en ældre vens sygesikringskort, og gå ned på kommunen, og her få lavet et officielt billed-ID med vennens alder og ens eget billede, med sygesikring som eneste krævede identifikation. Efterfølgende blev dette så sendt til vennens adresse, hvorefter man kunne hente kortet her og skylde den pågældende et par øl. http://www.naestved.dk/Service...aspx (lånt fra Næstved kommunes hjemmeside).
Dokumentfalsk og bedrageri, ja, men effektivt. Bare for at komme med et andet eksempel på manglende sikkerhed i det offentlige.

Re: Modus 11

med 4 ciffre er det nu 5000 til hvert køn og ikke 500...

Først modulus

Først tildeles CPR numre ud fra modulus systemet, hvilket giver de 270 per køn.
Derefter tildeles uden modulus, hvilket for tiden giver yderligere 2730 per køn.
(Det første ciffer kan pt. kun være 4-9)

Dvs. selvom man nu kan få et CPR nummer uden modulus, vil langt de fleste stadig være inden for de 270 per dag per køn og derfor kunne nås som der i artiklen står "da der kun fødes ca. 80 personer af hvert køn om dagen, mener Peter Nørregaard, at han skal bruge ca. 40 gæt på at finde et personnnummer."

Kilder :
http://da.wikipedia.org/wiki/C...mmer
http://www.cpr.dk/cpr_artikler....pdf

først og først

Jeg kan, som Jan Nielsen skriver, heller ikke få det til 40.

Men når det er sagt, så er der ikke tale om at CPR er hemmelige mere, der er langt flere faktorer som medfører at CPR ikke entydigt identificerer.
CPR skal først og fremmest identificerer den enkete borger entydigt, det samme gælder for CVR.

Foruden alle de tilfælde, hvor systemet har været anvendt uheldigt, så er det primært muligheden for offentlig CPR-validering, der betyder at et statisk system ikke fungerer.

Identitetstyveri, er langt mere alvorligt end at hugge 10.000 i banken.
Der er et utal af sager, hvor borgere og virksomheder bliver misbrugt og udnyttet.
For borgere, er der f.eks. tale om at der er borgere der havner i miskredit hos kreditvurderingsbureauer, og dermed får deres liv ødelagt.
For virksomheder er der tale om, at de ganske enkelt bliver uretmæssigt frastjålet penge, uden at de har nogen reel mulighed for at gøre andet end at bruge en formue på at gå rettens vej.
Man skal her være klar over, at uanset hvad, så koster det et beløb at føre en sag, det gælder for både borger og virksomhed. Derfor vil almindeligt småsvindel, sandsynligvis aldrig føre til en egentlig sag, for det vil koste mere at føre sag, end det beløb man kan få i erstatning.
Noget man har indset, allerede da man lukkede for at der kan anmeldes almindeligt misbrug, ved at overføre alle småsagerne fra Politiet til Datatilsynet.

Identitetstyveri, er jo også andet. I de tilfælde hvor f.eks. brugere bliver hængt ud på sociale netværk, måske oven i købet i mod den reelle identitets vidende, er der tale om identitetstyveri.
Der er eksempler på ministre, som skulle have, og i dette navn have udtalt sig, på f.eks. Facebook. Det er meget alvorligt !

I et digitalt samfund, SKAL man kunne identificerer sikkert, i første person, på den infrastruktur der danner det digitale samfund, ellers er alle åbne for identitetstyveri.

En ny løsning omkring CPR eller dettes afløser, skal tage højde for, at vi er inde i et digitalt samfund !

Nemmer at gætte CPR nr. end sko strl.

Vil ikke ind i debatten om hvor mange gæt der skal til for at finde en persons CPR nr. Men alt andet lige er det altså nemmere at gætte ens sko strl.
Det kræver ikke omkring 40 gæt.
Blot en strø tanke.

Re: Nemmer at gætte CPR nr. end sko strl.

Prøv at læse hvad der står - nemlig at skostørrelsen umulig at få verificeret online mens CPR-nummeret godt kan verificeres.

Men Datatilsynet har skærpet brugen af online CPR-validering i forhold til for et år siden for at sikre en barriere mod gentagne forsøg på at gætte en persons CPR-nummer ud fra kendskab til navn, fødselsdato og adresse. Dermed burde de mindst kompetente lænestols-banditter være koblet af muligheden for bare at gætte løs.

Om de mere velfunderede banditter kan omgå den sikring, der bør være implementeret, er en anden sag.

Re: Nemmer at gætte CPR nr. end sko strl.

Prøv at læse hvad der står - nemlig at skostørrelsen umulig at få verificeret online mens CPR-nummeret godt kan verificeres.

Men Datatilsynet har skærpet brugen af online CPR-validering i forhold til for et år siden for at sikre en barriere mod gentagne forsøg på at gætte en persons CPR-nummer ud fra kendskab til navn, fødselsdato og adresse. Dermed burde de mindst kompetente lænestols-banditter være koblet af muligheden for bare at gætte løs.

Om de mere velfunderede banditter kan omgå den sikring, der bør være implementeret, er en anden sag.

Jeg ka godt li den med skostørrelse. Den var go :D

Det med CPR-validering, er en god måde at gøre det på, men det er stadigvæk et 3'person system.
Det er ikke så svært at lave et system der tilspørger i første person.

Selve CPR-systemet, skal have fjernet tilgangen for private aktører, hvis det skal have en fremtid. Det bør kun være identitets myndigheder i offentligt regi, der har tilgang til dette nummer.
At tilføje et ciffer til CPR og gøre dette nye nummer tilfældigt, vil være ret enkelt. F.eks. mere enkelt end at sende papkort med kryptiske farvekombinationer, til alle borgere.

Og ja, der er ingen beskyttelse mod banditter, derfor må det system der stilles offentligt til rådighed, imødegå banditter.
Det handler om, at man også på internettet, skal kunne identificerer sig, med de oplysninger man ønsker at identificerer sig med.
I forhold til alle, skal man bare kunne fortælle hvem man er, i relation til den legale myndighed man tilhører.
I den forbindelse er der ikke behov for et CPR-nummer.

Skostørrelse?

Forklar mig lige relevansen af at sammenligne det med skostørrelse?

Det er da en fuldstændig ligegyldig sammenligning.

I øvrigt er skostørrelsen ikke mere hemmelige. Den er bare uinteressant.

Hvorfor skal det være hemmeligt?

Problemmet er ikke at det kan gættes. Vi vifter jo alligevel om os med vores sygesikringsbevis, og skriver og bruger vores personnummer så mange steder, så ingen burde forvente at der er noget hemmeligt ved det.

Problemet er derimod når det offentlige, og firmaer, bruger det, som om det er noget hemmeligt som kun "ejermanden" kender til.

At man f.eks. nogen steder kan hæve penge i banken, blot ved at bruge sit personnummer, uden ID, det er bankens skyld.

Det er et unikt ID, og ikke en hemmelig kode.

Re: Nemmer at gætte CPR nr. end sko strl.

Vil ikke ind i debatten om hvor mange gæt der skal til for at finde en persons CPR nr. Men alt andet lige er det altså nemmere at gætte ens sko strl.
Det kræver ikke omkring 40 gæt.
Blot en strø tanke.

God pointe, men forskellen er jo at du ikke kan få bekræftet om dit skostørrelsegæt er korrekt. Det kan du derimod med cpr-nummer.

Men derudover, har det jo ingen relevans hvor let det er at gætte folks skostørrelse. Det er noget mærkeligt noget at sammenligne med.

Re: Nemmer at gætte CPR nr. end sko strl.

Pointen er netop at noget så ubrugeligt og banalt som skostørrelse er mere hemmeligt end et CPR-nummer. Så ja, du har fanget pointen meget fint :-)