Forskere knækker det amerikanske personnummer
Amerikanske forskere har brugt offentligt tilgængelige oplysninger til at forudsige almindelige amerikaneres personnumre. Spørgsmålet er, hvor sikkert det danske cpr-nummer er?

Amerikansk plakat fra 1939 til at promovere udbredelsen af det amerikanske Social Security-nummer (Foto: USA's nationale arkiver)

Med Facebook og andre sociale netværkstjenesters invasion er et menneskes personnummer ofte en sidste private bastion.

Men i USA har to forskere knækket den amerikanske pendant til cpr-nummeret ved hjælp af matematiske og statistiske værktøjer.

Da det amerikanske Social Security Number (SSN) giver adgang til menneskers finansielle oplysninger og fungerer som et middel til at kontrollere identiteten af en lang række finansielle institutioner, udgør det nye brud en reel risiko for at muliggøre identitetstyveri.

Det absurde ved de amerikanske forskeres metode til at udregne personnumrene er, at den baserer sig på oplysninger stillet til rådighed fra den amerikanske stat for at undgå svindel med numrene.

47 numre knækkes i minuttet

Siden slutningen af 1980'erne har den amerikanske regering haft et initiativ kaldet "Enumeration of Birth", der skal sikre, at alle bliver tildelt et cpr-nummer kort efter fødslen, så personer ikke som tidligere skal søge om dem senere i livet. Herved undgår man fremover falske ansøgninger om numrene.

Og den nye systematiske måde at tildele Social Security Numbers til alle satte forskerne Alessandro Acquisti og Ralph Gross fra Carnegie Mellon University i stand til at udregne de første fem numre for hele 44% af indbyggerne født efter 1988. I små stater kunne forskerne udregne op til 90% af numrene.

De havde det en del sværere ved at forudsige de sidste fire numre, men fik alligevel det rigtige resultat 0,1% af gangene. I staten Delaware havde forskerne dog hele 5% succes med at forudsige alle ni cifre i Social Sercurity-numrene.

Trods den tilsyneladende lave succesrate mener forskerne, at deres nye metode viser en alvorlig risiko for brud på sikkerheden. Blandt andet fordi for eksempel amerikanske kreditkort-selskaber tillader, at op til to cifre i social security-numre må være forkerte, når bare fødselsdato og -sted er korrekt.

Fakta

VIDSTE DU

Sådan er dit CPR-nummer opbygget

Ciffer 1-2 angiver på hvilken dato i en måned du er født.

Ciffer 3-4 angiver i hvilken måned du er født.

Ciffer 5-6 i hvilket årstal du er født i.

Ciffer 7-9 tildeles vilkårligt. Dog angiver ciffer 7 i hvilket århundrede du er født i, da to personer med 100 års forskel ellers i princippet kunne leve med samme person-nummer.

Ciffer 10 angiver til dels dit køn. Er du pige/kvinde, er det lige. Er du dreng/mand er det ulige.

Det sidste ciffer er desuden et kontrolciffer (checkciffer), som beregnes ud fra de forudgående ni cifre efter den såkaldte modulus 11-metode (se næste boks).

De amerikanske forskere har udregnet, at de med et netværk på 10.000 computere med held vil kunne identificere yngre beboere i små stater med en hastighed på op til 47 pr. minut.

10 dumme cifre

En svaghed ved de amerikanske numre er, at de er baseret på den stat, hvor nummeret oprindeligt blev tildelt. Og den slags information ligger, ifølge konsulent på CPR-kontoret Jørgen Møller, ikke i det danske nummer.

Ifølge Jørgen Møller behøver vi derfor heller ikke herhjemme at frygte en lignende situation, da det danske cpr-nummer udgøres af 'ti dumme cifre', der ikke eller næsten ikke indeholder information om personen.

»I Danmark findes fødselsdato jo åbenlyst i personnummeret, så der er ikke noget at regne ud der. Og de fire sidste numre i tildeles i helt tilfældig rækkefølge til børn ved fødslen, så noget tilsvarende vil ikke kunne finde sted i Danmark,« mener Jørgen Møller.

Små svagheder

I Danmark tildeles de fire sidste cifre vilkårligt, og ikke systematisk efter hvornår du fødes. I USA tildeles de sidste fire cifre angiveligt også tilfældigt. At de amerikanske forskere alligevel har haft succes med at knække koden, er der ifølge lektor Thomas Hildebrandt fra IT-Universitetet i København en god forklaring på.

»Computere har svært ved at vælge noget helt tilfældigt, så hvis det er en computer, der laver nummeret i Danmark, kan man måske finde den funktion, der bruges,« forklarer Thomas Hildebrandt.

Ifølge Thomas Hildebrandt kan en anden mulig svaghed i det danske cpr-nummer findes i, at de sidste fire numre i danskernes cpr-numre indtil 2007 blev tildelt efter den såkaldte Modulus 11-metode (se boks). Det betyder, at der i praksis kun er ca. 540 personnumre til rådighed for hver dato.

»Der jo reelt ikke mange forskellige numre at tage af, da de sidste fire cifre også skal fortælle om kønnet og fungere som en tjeksum efter modulus 11-metoden. Det er derfor relevant at spørge sig selv, om man kan gætte eller beregne de sidste fire numre, der vælges tilfældigt i Danmark,« forklarer Thomas Hildebrandt.

Death Master Files

Prototype af den gamle udgave af det amerikanske SSN-bevis. Bemærk at beviset er "not for identification". (Foto: USA's myndigheder)

Ifølge Thomas Hildebrandt kan man dog ikke helt sammenligne de amerikanske numre med danske, da de amerikanske numre tilsyneladende har en skjult systematik i de fem første numre, og det lader til at være den, forskerne har haft held til at finde.

Den afgørende faktor for, at den amerikanske kode blev knækket, var de såkaldte "Death Master Files", hvor man kan finde amerikanernes Social Security-numre fra over 65 millioner afdøde personer.

Summen af de 9 produkter og kontrolcifferet skal tilsammen være deleligt med 11.

Derfor kan kontrolcifferet findes ved at dele summen af de 9 produkter med 11. Hvis divisionen går op, er kontrolcifferet 0, og ellers er det 11 minus divisionsresten. Giver divisionen resten 1, kan det pågældende løbenummer (ciffer 7-9) ikke anvendes, fordi kontrolcifferet derved ville blive tocifret (10), hvilket ikke er muligt.

Modulus 11-kontrollen betyder i praksis, at der kun er ca. 540 personnumre til rådighed for hver dato. Derfor er man begyndt at erstatte kontrolcifferet med et vilkårligt ciffer for at øge kapaciteten i systemet. Det første CPR-nummer med et 'ugyldigt' kontrolciffer blev udstedt i oktober 2007.

Kilde: Wikipedia

»Der er selvfølgelig altid en minimal chance for, at de skjulte parametre er valgt ud fra noget, der kan spores, f.eks. fødested og dato. Når man skal finde en skjult systematik, er det helt afgørende at have adgang til et stort datamateriale af korrekte numre. Her spiller 'Death Master Files' en afgørende rolle i den amerikanske undersøgelse,« forklarer Thomas Hildebrandt.

Sløseri den største fare

De amerikanske 'Death Master Files' skulle netop sikre, at firmaer kunne undgå, at døde personers identitet blev misbrugt. I stedet gav den forskerne tilstrækkelig med statistisk materiale til at relatere Social Security-nummeret med fødselsdato og fødselsstat.

Fakta

MODULUS 11

Modulus 11 blev indført for at give mulighed for at kontrollere et indtastet cpr-nummer for slåfejl. Derfor fungerer ciffer 10 i dit CPR-nummer som et kontrolciffer.

Kontrolcifferet beregnes ved at gange hvert af de første 9 cifre med et tal efter dette skema:

Ciffer nr:

»I Danmark vil jeg mene, at der er en meget lille chance for, at man kan forudsige de sidste fire cifre af CPR-nummeret. Den største fare er nok, at en en eller anden virksomhed eller offentlig myndighed sløser med sikkerheden og lægger dit cpr-nummer på en hjemmeside, der er offentlig tilgængelig. Det er sket op til flere gange,« fortæller Thomas Hildebrandt.

Jørgen Møller fra CPR-kontoret har også svært ved at tro, at det ville kunne lade sig gøre at knække den danske kode.

»Det er helt op til praksis på de enkelte hospitaler, hvornår de får tastet ind, at der er født et nyt barn. Så umiddelbart virker det ikke sandsynligt, at de sidste fire numre skulle kunne forudsiges,« siger han.

Faren i de sociale netværk

Skulle nogen mod forventning have succes med at knække den danske cpr-kode, så kan nummeret, ifølge Jørgen Møller, ikke misbruges på samme måde herhjemme som i USA. Amerikanske kreditkort-selskaber tillader nemlig ofte flere mislykkede forsøg per computer-IP-adresse, før man blacklister nummeret.

»Herhjemme kan du ikke misbruge et cpr-nummer på samme måde. Hvis du for eksempel skal oprette en mobil-telefon, vil mobil-selskabet ud over at checke cpr-nummer hos os også kontrollere, at for eksempel din adresse er korrekt ifølge det centrale personregister,« forklarer Jørgen Møller.

Som de amerikanske forskere mener han, at den klart største sikkerhedsrisiko for blive afluret sit cpr-nummer er de sociale netværk som Facebook, hvor mange brugere lægger flere og flere personlige oplysninger ud.

Videnskab.dk Podcast

Lyt til vores seneste podcast herunder eller via en podcast-app på din smartphone.