---

Jeg er systemadministrator på en teknisk skole. På undervisningsnettet har
vi valgt at benytte brugernes CPR-nummer som password. Dette blev valgt ud
fra den betragtning at det sparede administrativt arbejde frem for at
generere et password til alle bruge og omkostningerne forbundet med at
udsende meddelelsen med post.

PW'ene ligger i en Windows 2000 Active Directory, som så vidt jeg ved,
aldrig er blevet hacket. Samtidig sendes brugernavn og pw krypteret over
nettet, når brugeren logger på. Jeg kan ikke selv læse PW'ene når jeg kigger
i Active Directory databasen, og jeg har naturligvis underskrevet i mit
ansættelsesbrev at holde følsomme data fortrolige.

Eleverne har desuden mulighed for at ændre PW allerede før første login
eller de kan ringe til mig og få ændret PW allerede før de rører ved nogen
maskine.

Jeg vil blot spørge om det er lovligt at benytte CRP-nr som PW, meget gerne
med en henvisning.

På forhånd tak.
Mvh Benny Holdgaard Jensen

---

>Jeg vil blot spørge om det er lovligt at benytte CRP-nr som PW, meget gerne
>med en henvisning.

Jeg ved ikke om det er lovligt - men under alle omstændigheder er det
dumt! Et cpr-nummer er i dag ikke hemmeligt, dvs. alle kender
hinandens password, mere eller mindre. Du burde nok have sat systemet
op, så passwordet ikke bare kunne, men også _skulle_ ændres ved 1.
login.


Henning
hsb@FJERNESimage.dk

---

"Benny Holdgaard Jensen" <blackben666@nospam_hotmail.com> skrev:

> Jeg vil blot spørge om det er lovligt at benytte CRP-nr som PW,
> meget gerne med en henvisning.

Jeg kan desværre ikke umiddelbart give dig en direkte henvisning men
http://www.datatilsynet.dk er nok ikke et dårligt sted at lede.

Hvad angår brugen af CPRnummer som passwords ved jeg dog, at bla. Køge
Bibliotek måtte ændre deres system fordi de anvendet CPRnummer som PW.

--
Morten http://miljokemi.dk
Miljøtemaer: http://miljokemi.dk/temaer.htm

---

"Morten Bjergstrøm" <nospam01@miljokemi.dk> wrote in message
news:Xns9215E47297254.miljokemi.dk@172.16.16.111...
> "Benny Holdgaard Jensen" <blackben666@nospam_hotmail.com> skrev:
>
> > Jeg vil blot spørge om det er lovligt at benytte CRP-nr som PW,
> > meget gerne med en henvisning.
>
> Jeg kan desværre ikke umiddelbart give dig en direkte henvisning men
> http://www.datatilsynet.dk er nok ikke et dårligt sted at lede.

Jo, men min holdning er at vi faktisk ikke opbevarer følsomme data.
CPR-numrene kan ikke læses, ikke engang af os selv.

> Hvad angår brugen af CPRnummer som passwords ved jeg dog, at bla. Køge
> Bibliotek måtte ændre deres system fordi de anvendet CPRnummer som PW.

Men om Køge Bibliotek opgav grundet evt. ulovligheden eller det
følelsesmæssige aspekt som mange mennesker (begrundet) har omkring
CPR-numre...

---

Benny Holdgaard Jensen wrote:

> Men om Køge Bibliotek opgav grundet evt. ulovligheden eller det
> følelsesmæssige aspekt som mange mennesker (begrundet) har
> omkring CPR-numre...

Om det er lovligt eller ej, ved jeg ikke, men ud fra en IT-sikkerhedsmæssig
betragtning er det en meget dum idé at bruge sin adresse, CPR-nummer eller
lignende. Du burde i stedet gøre som en anden skrev: Sæt passwords'ene så de
SKAL ændres ved næste logon.


--
Med venlig hilsen
arc@na
IT-medarbejder

---

Benny Holdgaard Jensen skrev:

>Jo, men min holdning er at vi faktisk ikke opbevarer følsomme data.

Der tager du fejl.

>CPR-numrene kan ikke læses, ikke engang af os selv.

De kan læses. Det er muligt at du ikke ved hvordan, og det er
muligt at det er svært - men læses kan de. Ellers kan de jo
heller ikke sammenlignes med det indtastede.

Og husk på at den der kikker Ole over skulderen, kan opsnappe
hans CPR-nummer.

>Men om Køge Bibliotek opgav grundet evt. ulovligheden eller det
>følelsesmæssige aspekt som mange mennesker (begrundet) har omkring
>CPR-numre...

Begge dele er gode grunde til at undgå det.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

In article <m14neuk9267gubb3u140p3d4obm12m33s8@sunsite.auc.dk>, Bertel Lund Hansen wrote:
> Benny Holdgaard Jensen skrev:

>>CPR-numrene kan ikke læses, ikke engang af os selv.
>
> De kan læses. Det er muligt at du ikke ved hvordan, og det er
> muligt at det er svært - men læses kan de. Ellers kan de jo
> heller ikke sammenlignes med det indtastede.

Du har ret i at de kan læses, og de kan fremskaffes i klar-text,
men din antagelse af at ellers kan man ikke sammenligne er
forkert. Password sammenlignelsen virker ved at systemet
gemmer den krypterede password og sammenligner det krypterede
indtastede med det gemte krypterede. Hvis de er ens, er password
ens.


> Og husk på at den der kikker Ole over skulderen, kan opsnappe
> hans CPR-nummer.

Langt værre



JonB

--

Jeg har nogle meninger, blandt andet: "post i den rigtige gruppe",
"klip unødig text væk", "svar nedenunder", "skriv korrekt subject"
"ingen krydspost". Se http://usenet.dk/netikette/citatteknik.html

---

Bertel Lund Hansen wrote:

> Benny Holdgaard Jensen skrev:
>
> >Jo, men min holdning er at vi faktisk ikke opbevarer følsomme data.
>
> Der tager du fejl.
>
> >CPR-numrene kan ikke læses, ikke engang af os selv.
>
> De kan læses.

Helt præcis, kan kodeordet (her CPR-nummeret) ikke læses. Man kan læse
en nøgle, som kan bruges til at kontrollere, om et givent kodeord er
korrekt.
Der er kun en en-vejs sammenhæng. Kodeordet kan oversættes til nøglen,
men nøglen kan _ikke_ oversættes til kodeordet. Teoretisk kan man prøve
alle mulige kombinationer af kodeord, oversætte dem til nøgler, og
sammenligne med den givne nøgle. Er nøglerne ens, var kodeordene det
(sandsynligvis) også.
Ud fra denne teoretiske mulighed for at finde kodeordet (CPR-nummeret)
kan man diskutere, om nøglen er "følsomme data". At følsomme data skal
indtastes ved login for at generere en nøgle, der kan sammenlignes med
kodeords-nøglen, er en (lidt) anden sag.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/