Hovedinnhold

- Feil å bruke personnummer som «passord»

(VG Nett) Tvilholder du på det «hemmelige» personnummeret ditt? Med litt tålmodighet kan alle finne det ut uansett.
REAGERER: Informasjonssjef Ove Skåra i Datatilsynet reagerer på den utilstrekkelige beskyttelsen av personnummer. Foto: Berit Roald / Scanpix
REAGERER: Informasjonssjef Ove Skåra i Datatilsynet reagerer på den utilstrekkelige beskyttelsen av personnummer. Foto: Berit Roald / Scanpix

Mange nordmenn passer på personnummeret sitt som om det skulle være en statshemmelighet. Men måten nummeret er bygget opp på gjør at det relativt lett kan knekkes. Med litt hjelp fra en statlig nettside er nesten alle personnummer mulig å lete seg frem til.

Alt man trenger å vite er fødselsdatoen til personen og postnummeret. Det er ikke vanskelig å finne på nett.

Det norske personnummeret er bygget opp slik: De første seks siffer er fødselsdatoen, de tre neste er et unikt individnummer og de to siste er kontrollsiffer.

Ved å lage et enkelt dataprogram kan man raskt få en kort liste over mulige personnummer på en gitt dato, så er det bare å teste dem ut på NAVs nettsider. Som en ekstra sikkerhet krever NAV riktig navn og riktig folkeregistert postnummer.

Smal sak

Kilder VG Nett har vært i kontakt med viser at det er en smal sak å finne frem gylde fødselsnummer for så å sjekke dem opp mot NAVs nettsider. På den måten har en liten liste over kjendiser og politikeres personnummer blitt laget.

Datatilsynet reagerer på bruken av personnummer som et slags passord for å komme inn på sensitive tjenester.

- Siden det bare skal brukes til å finne frem riktig person er det dumt å gå rundt å tro at det er et passord, sier informasjonssjef Ove Skåra i Datatilsynet til VG Nett.

I utgangspunktet skal personnummeret kun brukes til å knytte en person og adresse til nummeret, ikke som en måte å autentisere personer på. Mange nettsider gir inntrykk av at personnummeret er en slags nøkkel til dine personopplysninger.

- Det du gir, synes vi, er et inntrykk av at når man skriver inn personnummeret så oppgir man et «passord». Man senker terskelen og gir inntrykk av at personnummeret skal brukes til noe annet enn å knytte nummeret opp mot en person.

Datatilsynet er i ferd med å titte nærmere på personnummerets rolle i den nye dataalderen. En ny verden der informasjon kan hentes inn fra et utall kilder og behandles lynraskt gjør personnummerert til en dinosur.

- Skaden er at folk tror dette kan brukes til adgangskontroll. Vi må diskutere personnummeret i en bredere sammenheng, sier Skåra.

Enda lettere

Tidligere denne uken skrev VG Nett om sikkerhetshull i nettsidene til Tele2, disse muliggjorde raske søk på datoer. Dersom personen var kredittgodkjent, ville navn og adresse avsløres etter noen minutter med søking.

På NAVs hjemmesider er jobben mer manuell, men like fullt mulig å hente personnummer fra.

Har man prøvd og feilet seg frem til en gyldig personnummer, er det en smal sak å gjøre mindre endringer i den personens navn. Å finne frem og bytte fastlege er en av endringene som kan gjøres på NAVs nettsider med bare et personnummer som autentisering.

Kommentarer Antall kommentarer på artikkelen

Har du en mening om denne artikkelen? Du må bruke ditt eget navn hvis du skal delta i debatten. Respekter andres meninger og husk at mange kan se hva du skriver. Brudd på reglene kan føre til utestengelse.

VGs journalister og moderatorer overvåker denne debatten kontinuerlig mellom kl. 07 og 24. Kommentarfeltet er nå stengt og åpner igjen kl. 07.00. Velkommen tilbake da!
Klikk for å se kommentarene

Siste saker fra Teknologi

Se neste 5 fra Teknologi