Nettleseren din er utdatert. Den har kjente sikkerhetsproblemer og vil ikke kunne vise alle egenskapene til denne og andre nettsider. Lær mer og se hvordan du kan oppdatere nettleseren din..

X

Fødselsnummer

Jeg ønsker å fremme to mindre kjente sannheter vedrørende fødselsnummer:

  1. Fødselsnummeret ditt er enkelt å finne
  2. Fødselsnummer er ikke en sensitiv personopplysning (se også personopplysningsloven § 2 nr. 8)

Algoritmen for å generere fødselsnummer er allment tilgjengelig; den ligger blant annet på Wikipedia. Jeg ønsker å understreke at det ikke er noen sikkerhetsproblemer med algoritmen – problemer oppstår når fødselsnummer blir brukt utover sitt opprinnelige formål. Kort oppsummert kan man si at fødselsnummer kun er ment til identifikasjon, ikke autorisasjon.

Mer spesifikt betyr dette at å kunne fødselsnummeret til en gitt person ikke skal kunne autorisere deg til noe som helst. Nummeret er tildelt av praktiske hensyn, eksempelvis for å kunne skille mellom to personer født samme dag og med samme navn i offentlige registre.

Feil bruk

Teleoperatørenes nettbutikker fungerer som en god illustrasjon på hvordan fødselsnummer ikke er ment å brukes. Fødselsnummeret er i praksis alt som trengs for å fullføre en bestilling. Det bekrefter at du er den du utgir deg for – eller fungerer som en autorisasjon om du vil.

Alle som har fødselsnummeret ditt kan kjøpe en mobil med binding til 1 krone og hente den på postkontoret, mens fremtidige regninger vil bli sendt hjem til deg. Det er selvfølgelig ulovlig, men like fullt en av flere uheldige realiteter som følge av uvettig bruk av fødselsnummer.

Fødselsnummer gir deg også tilgang til flere kritiske dokumenter som i siste instans kan føre til identitetstyveri og identitetssvindel.

Fødselsnummergenerator

Det trengs bare én opplysning for å finne fødselsnummeret til en gitt person (foruten navnet selv): fødselsdatoen. Kjenner du i tillegg kjønnet til vedkommende halverer du listen over antall mulige kombinasjoner…

For hver mulige fødselsdato til hvert kjønn finnes det ~210 mulige kombinasjoner av fødselsnumre. For å finne det ene riktige fødselsnummeret til en gitt person, må du ta utgangspunkt i navnet og prøve hver enkelt kombinasjon mot en database helt til du får treff. Databasen kan være en teleoperatør og utprøvingen kan gjøres manuelt eller via et skript.

Som et proof of concept har jeg skrevet et PHP-skript som genererer en liste over alle mulige fødselsnumre du kan ha. Jeg ber ikke om navnet ditt og vil dermed ikke kunne finne ditt spesifikke fødselsnummer.

Link: Fødselsnummergenerator

(Jeg har også lagt ut kildekoden til et Python-skript som gjør samme jobben på pastebin.)

Sluttord

Målet mitt er (selvfølgelig) ikke å bidra til kriminell aktivitet, kun opplyse om de faktiske forholdene. Både på jobb og privat har jeg erfart at folk generelt ikke har et bevisst forhold til fødselsnummeret sitt. Uvitenhet og dårlige løsninger er det egentlige problemet – informasjonen jeg presenterer her har vært tilgjengelig for alle i årevis.

Samtidig har jeg bevisst unnlatt et par detaljer som vil gjøre prosessen fra listen på 210 numre til et personlig nummer lettere og i større grad automatisert. Jeg hevder på den andre siden ingen viten om hemmelig informasjon; hvem som helst står altså fritt til å finne den mest effektive metoden selv.

Inntil vi har bedre løsninger må vi leve med denne sårbarheten. Alle bør for øvrig låse postkassen som et enkelt – men effektivt – grep for å forebygge identitetstyveri. Se også Datatilsynets artikkel: Hvordan oppdage, forebygge og bekjempe ID-tyveri.

Ta gjerne kontakt om det er noen spørsmål!