CPR-numre bruges skræmmende forkert hver dag
Det er slemt, at svindlere kan snyde unge og gamle for penge. Det er værre, når svindlerne kan ringe til banken, og ved at remse det relevante cpr-nummer op, få genåbnet dankortet.
Det værste er, at vi ret let kan modvirke den sidste del, men gør det ikke.
Det har vi forsømt at gøre i mange år. Banker, offentlige institutioner og virksomheder bliver ved med at følge forældede rutiner. Og medvirker derved til at gøre svindel enkelt.
Problemet er, at cpr-numre stadig bliver brugt som autentifikation og ikke kun som identifikation. Noget jeg har råbt op om de sidste årtier. Ja, faktisk siden jeg på et datanom-kursus i 90-erne skrev opgave om det dengang debatterede ”borgerkort”.
Identifikation
Cpr-nummeret er i al sin genialitet en 100% sikker identifikation af en hvilken som helst dansk borger. Alle personer i Danmark har et unikt cpr-nummer. Vi får det få minutter efter, vi er født. Det følger os hele livet. Det identificerer os helt præcist. Der er kun én af mig.
Autentifikation
Noget helt andet er autentifikation.
Ifølge den danske ordbog skal autentifikation: ”sikre, at der er tale om den rigtige person og ikke én, der misbruger en andens identitet”. Med andre ord: Er du den, du udgiver dig for at være?
Det vil sige, at der er stor forskel på identifikation: hvilken person er der tale om? Og så autentifikation: er du den, du identificerer dig for at være?
Vores cpr-numre anses desværre stadig som gyldige svar på begge spørgsmål. Hvis du kan remse et cpr-nummer op, ja så antages du desværre og naivt nok, at være den, du siger, du er. Det er alarmerende forkert.
Det er såre simpelt at opsamle et cpr-nummer. Jeg skal bare stille mig op i køen på apoteket, på biblioteket, i banken eller i telebutikken. Spørgsmålet bliver stillet tusindvis af gange dagligt: ”Hvad er dit cpr-nummer?”.
Og folk svarer gladeligt og højlydt. Og autentifikationen er hus. Tror vi, naivt. Og endnu værre, så er det skræmmende enkelt på internettet at skaffe sig lange lister med cpr-numre og tilhørende navne.
Principielt burde alle cpr-numre med tilhørende navne være offentligt tilgængeligt, så alle ved og kan identificere den ene person fra den anden. Vi kan undgå uheldige sammenblandinger, hvis nu fx to personer hedder Jens Hansen. Det er ikke helt utænkeligt.
Derefter skal den samme Jens Hansen, når han ringer til banken, til kommunen eller virksomheden på en helt anden vis kunne autentificere sig som værende netop den Jens Hansen med netop det cpr-nummer.
I dag kan det gøres med pas, kørekort, dåbs-/navneattest, MitID og andre eksisterende tekniske løsninger. Identiteten bliver autentificeret.
Og hvem skal så gå forrest? Det skal alle virksomheder og offentlige institutioner. Det skal være helt slut med, at jeg ved blot at opremse et cpr-nummer i telefonen eller ved skranken, bliver antaget for at være den, jeg udgiver mig for at være. For det er langt fra sikkert.
Kom nu i gang og få stoppet denne del af den stigende svindel. Stop med at bruge cpr-numre som autentifikation.
Publiceret som klumme i Nordjyske: 25-03-2025: https://nordjyske.dk/nyheder/nordjylland/cpr-numre-bruges-skraemmende-forkert-hver-dag/5474049