mboost-dp1
Unsplash
Suk.... Er vi blevet en generation af uvidenhed og ligegyldighed?
Hvem fik den idé at CPR nummer skulle være en del af en URL? Hvordan kunne en sådan ide overhovedet opstå? Og værre endnu, blive implementeret.
Hvad siger GDPR til dette?
Kan CPR snart bruges til noget som helst?
Hvem fik den idé at CPR nummer skulle være en del af en URL? Hvordan kunne en sådan ide overhovedet opstå? Og værre endnu, blive implementeret.
Hvad siger GDPR til dette?
Kan CPR snart bruges til noget som helst?
CPR kan bruges som ID, hvilket det også var tiltænkt originalt.
Det har aldrig været tiltænkt som en adgangskontrol.
Ligesom med alle andre IDer så skal det kobles med stærk adgangskontrol (som fx NemID m. pap kort).
Hvis alle opfyldte dette ville der ikke være noget problem med at det blev givet ud.
Problemet er at mange organisationer som banket og kommuner bruger det som både ID og adgangskontrol på én gang.
Det har aldrig været tiltænkt som en adgangskontrol.
Ligesom med alle andre IDer så skal det kobles med stærk adgangskontrol (som fx NemID m. pap kort).
Hvis alle opfyldte dette ville der ikke være noget problem med at det blev givet ud.
Problemet er at mange organisationer som banket og kommuner bruger det som både ID og adgangskontrol på én gang.
Den slags bør udløse en bøde til CSC
Sådan i GPDR-størrelsen
digitalt.
Havde man hashet det ordentligr, så havde det ikke været et problem at det var en del af URL'en som sådan.
Men altså, det var vel en underbetalt og overarbejdet kode-abe et eller andet sted i CSC der fik at vide at han skulle præsentere en implementering der var "god nok", hvorefter en eller anden mellemleder har sendt det i produktionen uden om QC tænker jeg.
Det spændende er at nu vil man til at gøre NemID til en Rent digitalt service, hvilket betyder at man med adgang til en enkelt enhed pludselig kan stjæle folks identitet, hvor man før i tiden skulle have fysisk adgang til papkortet og være i besiddelse af password og brugernavn.
I en tid hvor mange bruger de samme passwords til alt og næsten ingen ændrer deres Cpr-nummer til et unikt brugernavn på NemID, så virker det decideret lamt at gøre NemID'et rent digitalt.
Sådan i GPDR-størrelsen
digitalt.
fastwrite_1 (1) skrev:
Hvem fik den idé at CPR nummer skulle være en del af en URL? Hvordan kunne en sådan ide overhovedet opstå? Og værre endnu, blive implementeret.
Havde man hashet det ordentligr, så havde det ikke været et problem at det var en del af URL'en som sådan.
Men altså, det var vel en underbetalt og overarbejdet kode-abe et eller andet sted i CSC der fik at vide at han skulle præsentere en implementering der var "god nok", hvorefter en eller anden mellemleder har sendt det i produktionen uden om QC tænker jeg.
EmilKampp (3) skrev:CPR kan bruges som ID, hvilket det også var tiltænkt originalt.
Det har aldrig været tiltænkt som en adgangskontrol.
Ligesom med alle andre IDer så skal det kobles med stærk adgangskontrol (som fx NemID m. pap kort).
Hvis alle opfyldte dette ville der ikke være noget problem med at det blev givet ud.
Problemet er at mange organisationer som banket og kommuner bruger det som både ID og adgangskontrol på én gang.
Det spændende er at nu vil man til at gøre NemID til en Rent digitalt service, hvilket betyder at man med adgang til en enkelt enhed pludselig kan stjæle folks identitet, hvor man før i tiden skulle have fysisk adgang til papkortet og være i besiddelse af password og brugernavn.
I en tid hvor mange bruger de samme passwords til alt og næsten ingen ændrer deres Cpr-nummer til et unikt brugernavn på NemID, så virker det decideret lamt at gøre NemID'et rent digitalt.
der er også den der med når læger ikke tjekker op, når der er kommet resultater tilbage fra hospitalerne. Det kan være en "simpelt" ting som hvilke bakterier der figurere ved en lungebetændelse, eller værre. Er det ikke borgerens ret at få at vide, hvad resultatet har vist, i deres e-boks, hvor de derefter kan rette henvendelse, hos deres læge. Det kunne også være en alarm bjælke der popper hos lægen, når en vigtig meddelelse, SKAL LÆSES!!
chris (4) skrev:
Havde man hashet det ordentligr, så havde det ikke været et problem at det var en del af URL'en som sådan.
Der er en lille risiko for kollision ved hash.
(man kunne naturligvis teste alle legale CPR numre for kollision)
Men enhver kunstig primær-nøgle kunne vel bruges.
spændende... det giver altid lidt mere krydderi på tilværelsen at ens CPR nummer bliver lækket og samtidigt kan misbruges fordi der er kommuner og firmaer som fatter hat og minus
men hva, der var jo også et læk fra politiets kørekort register for nogle år tilbage
alt imens kommuner og diverse kviklånsfirmaer fortsat uhindret kan benytte cpr til både id og verifikation
men hva, der var jo også et læk fra politiets kørekort register for nogle år tilbage
alt imens kommuner og diverse kviklånsfirmaer fortsat uhindret kan benytte cpr til både id og verifikation
Snoop (5) skrev:chris (4) skrev:
...næsten ingen ændrer deres Cpr-nummer til et unikt brugernavn på NemID...
Selvom du ændre dit navn på Nemid, kan du stadig logge ind med dit cpr-nummer. I starten var dit Nemid password heller ikke case sensitive. Ved ikke om de har fået rettet det.
Man kan ikke ændre navn i NemID. Man kan vælge om ens navn skal fremgå af certifikatet eller der blot skal stå Pseudonym. Navnet i NemID certifikatet kommer fra CPR-registeret.
på NemID's selvbetjening kan man vælge, om det skal være muligt at logge ind med CPR-nummer som brugernavn. Jeg har personligt slået det fra, så selvom man har mit CPR-nummer, så kan man ikke logge ind med mit NemID.
Angående adgangskode, så er det by-design ikke case sensitiv. Det bliver det nye MitID formentlig heller ikke.
#casesensitive passwords
Password kompleksitet er eksponentiel i længden og polynomial i antal tegn.
Derfor er det generelt bedre med længere passwords end password med flere mulige tegn.
Jeg vil ikke blive overrasket hvis mantraet "password skal være case senstive af sikkerhedshensyn" går samme vej som "password skal skiftes hver N måned af sikkerhedshensyn".
Password kompleksitet er eksponentiel i længden og polynomial i antal tegn.
Derfor er det generelt bedre med længere passwords end password med flere mulige tegn.
Jeg vil ikke blive overrasket hvis mantraet "password skal være case senstive af sikkerhedshensyn" går samme vej som "password skal skiftes hver N måned af sikkerhedshensyn".
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund