mboost-dp1
Flickr - bongo vongo
Det er fint nok at den slags bliver bragt op igen.
Det har aldrig været meningen at CPR-nummeret skulle kunne bruges som om det var en underskrift eller for den sags skyld et certifikat.
Et CPR-nummer er ikke andet end et unikt ID for en person, hvilket er praktisk for de flere hundrede Jens Jensen'er der findes i Danmark, og som uden et CPRnr ville være nødt til at dele bankkonti og telefonnummer :-p
At man vha et CPR-nummer kan hæve penge i banken, købe på kredit eller lign... det er bankernes og butikkernes fejl, IKKE CPR-systemets.
Det har aldrig været meningen at CPR-nummeret skulle kunne bruges som om det var en underskrift eller for den sags skyld et certifikat.
Et CPR-nummer er ikke andet end et unikt ID for en person, hvilket er praktisk for de flere hundrede Jens Jensen'er der findes i Danmark, og som uden et CPRnr ville være nødt til at dele bankkonti og telefonnummer :-p
At man vha et CPR-nummer kan hæve penge i banken, købe på kredit eller lign... det er bankernes og butikkernes fejl, IKKE CPR-systemets.
#2 Nope.. Blev selv meget overrasket over at du kan lave uendelig mange forsøg uden problem.
Det var iøvrigt hos Call Me de 2 studerende viste deres program, og Call Me har indført en blokade af det, så man har vidst 3 forsøg.
Men i længden kan du jo så alligevel bruteforce det? Hvis det er 3 gange i timen, eller 3 gange dagligt. Et CPR ændres jo aldrig.
Det var iøvrigt hos Call Me de 2 studerende viste deres program, og Call Me har indført en blokade af det, så man har vidst 3 forsøg.
Men i længden kan du jo så alligevel bruteforce det? Hvis det er 3 gange i timen, eller 3 gange dagligt. Et CPR ændres jo aldrig.
Det med kontrolciffer forsvinder da med tiden. :)
http://da.wikipedia.org/wiki/CPR-nummer skrev:Første personnummer uden modulus-11-kontrol er tildelt den 1. oktober 2007, til en mand med et CPR-nummer, der begynder med 010165.
Men... Hvis jeg har et firma kan jeg jo bare slaa det op i cpr registret?
Der er ikke noget specielt krav.
Jeg laver bare Fidos CPR Hacker Corp. og saa faar jeg stort set fri adgang.
Det er ikke der problemet ligger.
Det minder mig om teknisk skole, hvor folk synes det var skide sjovt at bestille random lort til andre folk, med CPR nummer paa bestillingen.
Fx "Bestil 10 proeve varer og saa koster 11 og fremefter 100.000.000kr!" reklamestunts.
Det tog ret lang tid at forklare den norske trunte hvorfor et CPR nummer ikke var gyldigt som underskrift og det endte med at deres advokat sendte mig mange breve med trusler om inkasso, etc.. Men selv inkasso ville ikke gaa ind i sagen, da der ikke var en underskrevet aftale. :)
Der er ikke noget specielt krav.
Jeg laver bare Fidos CPR Hacker Corp. og saa faar jeg stort set fri adgang.
Det er ikke der problemet ligger.
Det minder mig om teknisk skole, hvor folk synes det var skide sjovt at bestille random lort til andre folk, med CPR nummer paa bestillingen.
Fx "Bestil 10 proeve varer og saa koster 11 og fremefter 100.000.000kr!" reklamestunts.
Det tog ret lang tid at forklare den norske trunte hvorfor et CPR nummer ikke var gyldigt som underskrift og det endte med at deres advokat sendte mig mange breve med trusler om inkasso, etc.. Men selv inkasso ville ikke gaa ind i sagen, da der ikke var en underskrevet aftale. :)
Donsig (3) skrev:el_barto (2) skrev:Telesidernes CPR-validering har naturligvis en lås på antal forsøg på at indtaste et CPR-nummer fra samme IP-adresse, Ikke? Nåh nej :/
Og selv hvis der var, findes der tusindvis af proxier derude som man frit kan bruge til det.
Det er derfor der ud over lås på antal forsøg fra IP-adresse, også er lås på antal forsøg pr. CPR-nummer.
Altså hvis man ville gøre noget for at løse problemet. På den anden side BURDE det ikke være et problem at kende nogens CPR-nummer.
myplacedk (9) skrev:Det er derfor der ud over lås på antal forsøg fra IP-adresse, også er lås på antal forsøg pr. CPR-nummer.
Så har man jo blot transformeret problemet fra at være et sikkerhedsproblem til at være et denial-of-service problem.
Hvis nogen ikke kan lide dig kan de prøve at tilgå dit CPR nummer 3 gange hver dag, så er du ikke i stand til at købe et telefonabonnement, da dine antal forsøg er opbrugt.
Det vil være meget få tilfælde, hvor nye cprnumre ikke overholder modulus-11 kontrollen. Det er bl.a. tilfældet med 01.01.1965 og det hænger vist sammen med at det er blevet brugt som en "dummy"-fødselsdag for folk der ikke kender deres fødselsdag eller alder, men vurderes til at være født i "nærheden af den dato. Undtagelserne er dog nok til at man ikke længere kan bruge kontrollen i praksis til at vurdere gyldigheden af et cpr-nummer.Vossen (5) skrev:Det med kontrolciffer forsvinder da med tiden. :)
#8
Random vitamin piller og et ur lavet af plastik crap.
Jeg var endda saa flink at sende lortet retur, men selv det brugte de som et argument for at "det nok var mig der havde bestilt det", for hvorfor ville jeg dog ellers bruge 20 kroner paa at sende lortet retur!!11!!111 ZOMG 20 KRONER!!11!!....
Weird people :D
Random vitamin piller og et ur lavet af plastik crap.
Jeg var endda saa flink at sende lortet retur, men selv det brugte de som et argument for at "det nok var mig der havde bestilt det", for hvorfor ville jeg dog ellers bruge 20 kroner paa at sende lortet retur!!11!!111 ZOMG 20 KRONER!!11!!....
Weird people :D
#11
Det ville være pænt dumt, da der allerede er formel for fiktive CPR numre, så man nemt kan kende forskel.
første 6 er fødselsdato,
7 ciffer er århundrede,
8 "ciffer" er første bogstav i efternavn,
9 "ciffer" er første bogstav i fornavn,
10 ciffer er fortløbende nummer afhængigt af køn.
eftersom der bruges bogstaver i et fiktivt CPR, vil det selvfølgeligt ikke være muligt for det at opfylde et modulus 11 check. Det er først CPR numre tildelt efter 1. oktober 2007, der muligvis ikke overholder moduls 11. Det forsøges altid at tildele så det overholder, men der kan ikke garanteres at det altid vil kunne lade sig gøre.
Der er ca 270 muligheder pr. dag, som reglerne er for modulus 11.
Det ville være pænt dumt, da der allerede er formel for fiktive CPR numre, så man nemt kan kende forskel.
første 6 er fødselsdato,
7 ciffer er århundrede,
8 "ciffer" er første bogstav i efternavn,
9 "ciffer" er første bogstav i fornavn,
10 ciffer er fortløbende nummer afhængigt af køn.
eftersom der bruges bogstaver i et fiktivt CPR, vil det selvfølgeligt ikke være muligt for det at opfylde et modulus 11 check. Det er først CPR numre tildelt efter 1. oktober 2007, der muligvis ikke overholder moduls 11. Det forsøges altid at tildele så det overholder, men der kan ikke garanteres at det altid vil kunne lade sig gøre.
Der er ca 270 muligheder pr. dag, som reglerne er for modulus 11.
Lidt om at brute-force... Selv om der er 4 cifre, er der slet ikke tale om 10.000 muligheder.
Det sidste ciffer er kontrol-ciffer beregnet ud fra de første 9 cifre. Så er vi nede på 3 cifre, og dermed 1.000 muligheder. (Medmindre datoen der d. 1/1.)
Det 7. ciffer fortæller hvilket århundrede personen er født i. Hvis fødselsåret fx. er 1965, er 7. ciffer 0-4 eller 9. Så er vi nede på 600 muligheder.
Kønnet fremgår også, og så er vi nede omkring 300 mulige CPR-numre.
Måden kontrol-cifferet beregnes på betyder i øvrigt at ikke alle kombinationer af 9 cifre overhovedet kan få et gyldigt kontrol-ciffer. Kontrol-cifferet er nemlig et tal mellem 0 og 10, begge inklusive. Dem som får kontrolcifferet "10" kan man jo så ikke bruge. Jeg ved ikke lige hvor mange der ryger her, men nu er vi i hvert fald under 300.
Andre årstal har så et andet antal muligheder. Fx. år 1935 vil have 0-3 som 7. ciffer. Så er vi nede på under 200 muligheder.
Altså, hvis man tænker sig lidt om kan man komme ned på få hundrede muligheder for at finde et gyldigt CPR-nummer. Med nogle snedige regler kan man stoppe de fleste brute-force forsøg, men det er få nok til at det med tålmodighed kan lade sig gøre.
Problemet er jo, at jo hurtigere man er til at spærre for brute forcing, jo nemmere er det at lave denial-of-service angreb. Hvis en dato kan valideres 3 gange om dagen (med den regel alene kan du stadig bruteforce på under et halvt år), er det jo nemt at sørge for at en person ikke kan få valideret sit CPR-nummer.
Det sidste ciffer er kontrol-ciffer beregnet ud fra de første 9 cifre. Så er vi nede på 3 cifre, og dermed 1.000 muligheder. (Medmindre datoen der d. 1/1.)
Det 7. ciffer fortæller hvilket århundrede personen er født i. Hvis fødselsåret fx. er 1965, er 7. ciffer 0-4 eller 9. Så er vi nede på 600 muligheder.
Kønnet fremgår også, og så er vi nede omkring 300 mulige CPR-numre.
Måden kontrol-cifferet beregnes på betyder i øvrigt at ikke alle kombinationer af 9 cifre overhovedet kan få et gyldigt kontrol-ciffer. Kontrol-cifferet er nemlig et tal mellem 0 og 10, begge inklusive. Dem som får kontrolcifferet "10" kan man jo så ikke bruge. Jeg ved ikke lige hvor mange der ryger her, men nu er vi i hvert fald under 300.
Andre årstal har så et andet antal muligheder. Fx. år 1935 vil have 0-3 som 7. ciffer. Så er vi nede på under 200 muligheder.
Altså, hvis man tænker sig lidt om kan man komme ned på få hundrede muligheder for at finde et gyldigt CPR-nummer. Med nogle snedige regler kan man stoppe de fleste brute-force forsøg, men det er få nok til at det med tålmodighed kan lade sig gøre.
Problemet er jo, at jo hurtigere man er til at spærre for brute forcing, jo nemmere er det at lave denial-of-service angreb. Hvis en dato kan valideres 3 gange om dagen (med den regel alene kan du stadig bruteforce på under et halvt år), er det jo nemt at sørge for at en person ikke kan få valideret sit CPR-nummer.
Unbound (15) skrev:Det ville være pænt dumt, da der allerede er formel for fiktive CPR
Hvor har du det fra?
I øvrigt et underligt system. Kun 5 med ukendt dato på samme år, med samme køn og 2 forbogstaver?
Og hvor mange systemer med CPR-numre tror du kan klare alpha-numeriske CPR-numre?
Jeg tror det er de færreste. Der er stadig systemer som ikke kan håndtere CPR-numre med ugyldigt kontrol-ciffer. Jeg har enda hørt om systemer hvor personer uden CPR-nummer (udlændinge) bare får tildelt et eller andet, og så prøver de sig frem med løbenummeret til det validerer modulus-testen.
Når det er så svært at få folk til at opdatere valideringsreglerne, så tror jeg det er temmeligt svært at få ændret datatypen.
For en del år siden arbejdede jeg selv med udvikling på et system af den omtalte type, og jeg fandt et sikkerhedshul, der var værre end dette brute force angreb. Det var så nemt at omgå checket helt at jeg en dag kom til at gøre det ved et uheld. På den måde kunne man altså gennemføre registreringen med ugyldigt navn og CPR nummer. Det hul blev selvfølgelig lukket.
Dengang var jeg lidt overrasket over hvor lidt der egentlig skulle til for at få adgang til CPR registret. Men jeg arbejdede ikke med systemet længe nok til at jeg kan udtale mig om det generelle sikkerhedsniveau.
Dog må jeg give andre ret i at et CPR nummer ikke beviser noget om en persons identitet. Hvad skal der til for at mane den idé i jorden?
For en nutidig computer tager det sikkert lidt under et sekund at generere en liste over samtlige gyldige CPR numre for alle datoer, hvad man så end kan bruge det til.
Dengang var jeg lidt overrasket over hvor lidt der egentlig skulle til for at få adgang til CPR registret. Men jeg arbejdede ikke med systemet længe nok til at jeg kan udtale mig om det generelle sikkerhedsniveau.
Dog må jeg give andre ret i at et CPR nummer ikke beviser noget om en persons identitet. Hvad skal der til for at mane den idé i jorden?
Det vil overhovedet ikke hjælpe da der forsøges med forskellige CPR numre.myplacedk (9) skrev:Det er derfor der ud over lås på antal forsøg fra IP-adresse, også er lås på antal forsøg pr. CPR-nummer.
Det er nemt at udregne en omtrentlig størrelse. De 10000 kombinationer skal divideres med 11 pga. checksum, 2 da århundrede kan være lige eller ulige og 2 pga. kønnet. Det giver dermed ca. 227 muligheder når dato og køn er kendt.myplacedk (16) skrev:Jeg ved ikke lige hvor mange der ryger her, men nu er vi i hvert fald under 300.
For en nutidig computer tager det sikkert lidt under et sekund at generere en liste over samtlige gyldige CPR numre for alle datoer, hvad man så end kan bruge det til.
kasperd (18) skrev:Det vil overhovedet ikke hjælpe da der forsøges med forskellige CPR numre.myplacedk (9) skrev:Det er derfor der ud over lås på antal forsøg fra IP-adresse, også er lås på antal forsøg pr. CPR-nummer.
Selvfølgelig. Sorry, jeg mente dato. :)
Men skal systemet være brugbart er man nødt til at sætte grænsen rimeligt højt, så højt at det alligevel kun vil være et spørgsmål om dage.
kasperd (18) skrev:Det er nemt at udregne en omtrentlig størrelse. De 10000 kombinationer skal divideres med 11 pga. checksum, 2 da århundrede kan være lige eller ulige og 2 pga. kønnet. Det giver dermed ca. 227 muligheder når dato og køn er kendt.
10000/11 pga. kontrol-ciffer - Enig. :)
"2 da århundrede kan være lige eller ulige" - Ah... Et sted mellem 4/10 og 6/10 alt efter årstallet. Men ja, rundt regnet kan du trække halvdelen fra her.
Dvs. 1935: 10000 * 1/11 * 4/10 * 1/2 ~= 191
1980: 10000 * 1/11 * 6/10 * 1/2 ~= 272
SlettetBruger (21) skrev:Hvad kan man bruge CPR nummer til?
Mener du hvad black-hattere kan bruge det til? Over for mennesker og systemer som tror det er et kodeord, kan man bruge det som både id og kodeord. Fx. kunne man engang hæve penge i banken, bare man havde CPR-nummeret, og man var heldig med at finde en godtroende kasse-assistent.
I dag kan du med lidt held vist stadig bruge det til at ændre folks folkeregister-adresse. Derefter kan du nu modtage personens post, og så kan du rigtigt meget. De fleste myndigheder har intet problem med at sende personlige informationer til folks egen folkeregister-adresser.
Et endnu større sikkerhedshul er jo nærmest at ens sygesikringskort ikke har noget billede!
Især fordi cpr nummeret kan midbruges da mange myndigheder er for godt troende og det er for nemt at bruge. Vi har teknologien så hvorfor ikke bruge denne, ligesom der er billede i pas, så vil det da være godt med et billede på sygesikrings kortet, nu hvor man kan hæve penge, skifte addresse mv.
Især fordi cpr nummeret kan midbruges da mange myndigheder er for godt troende og det er for nemt at bruge. Vi har teknologien så hvorfor ikke bruge denne, ligesom der er billede i pas, så vil det da være godt med et billede på sygesikrings kortet, nu hvor man kan hæve penge, skifte addresse mv.
antal gæt en computer skal lave
Fødseldato kendes
Køn kendes
født i tidsrummet 1900-1999
så er der
4*10*10*5 = 2000 muligeder
4 1 kontrol cifre
10 2 kontrol cifre
10 3 kontrol cifre
5 4 kontrol cifre
årstal 1900-1999 = mulighederne [0,1,2,3] = 4 muligheder http://da.wikipedia.org/wiki/CPR-nummer
køn = muligderheder pige [0.2.4.6.8] dreng [1,3,5,7,9] = 5 muligheder
2000 muligheder er ikke meget for en computer
Fødseldato kendes
Køn kendes
født i tidsrummet 1900-1999
så er der
4*10*10*5 = 2000 muligeder
4 1 kontrol cifre
10 2 kontrol cifre
10 3 kontrol cifre
5 4 kontrol cifre
årstal 1900-1999 = mulighederne [0,1,2,3] = 4 muligheder http://da.wikipedia.org/wiki/CPR-nummer
køn = muligderheder pige [0.2.4.6.8] dreng [1,3,5,7,9] = 5 muligheder
2000 muligheder er ikke meget for en computer
myplacedk (17) skrev:Unbound (15) skrev:Det ville være pænt dumt, da der allerede er formel for fiktive CPR
Hvor har du det fra?
Jeg tror i snakker om forskellige ting. CPR-numre med bogstaver er ikke gyldige CPR-numre men såkaldte erstatnings CPR-numre. Det bliver bl.a. brugt i Landspatientregisteret for udlændinge der bliver behandlet på danske sygehuse. Det er ikke specielt entydigt, og der er ikke nogen garanti for at en person får det samme erstatnings CPR-nummer hver gang.
Det #11 siger om at folk får tildelt et CPR-nummer fra 1. januar når de ikke kender deres fødselsdato er korrekt, men det gælder kun når udlændinge skal have et gyldigt CPR-nummer for at kunne flytte til eller arbejde i Danmark.
myplacedk (17) skrev:Når det er så svært at få folk til at opdatere valideringsreglerne, så tror jeg det er temmeligt svært at få ændret datatypen.
I alle vores systemer der håndterer CPR-numre gemmer vi det som char(10). Også i CPR-registeret hvor der kun er tal i CPR-numrene. Det er bl.a. nødvendigt fordi CPR-nummeret kan starte på 0.
Guys, checksummen er i praksis ikke længere anvendelig. I hvert fald ikke for yngre børn og nydanskere.
http://cpr.dk/cpr/site.aspx?p=23&t=ForsideVisa...
http://cpr.dk/cpr/site.aspx?p=23&t=ForsideVisa...
Mort (10) skrev:Så har man jo blot transformeret problemet fra at være et sikkerhedsproblem til at være et denial-of-service problem.
Hvis nogen ikke kan lide dig kan de prøve at tilgå dit CPR nummer 3 gange hver dag, så er du ikke i stand til at købe et telefonabonnement, da dine antal forsøg er opbrugt.
Stort problem *hvis* du lige netop den dag/uge skal have nyt telefon abonnement.
Men det var lige et stort hvis.
Unbound (15) skrev:Det er først CPR numre tildelt efter 1. oktober 2007, der muligvis ikke overholder moduls 11.
Ja.
Men det er ikke kun for personer født efter dette tidspunkt og da et CPR nummer ikke indeholder udstedelses dato, så kan man ikke bruge den dato til noget.
tipsen (11) skrev:Det er bl.a. tilfældet med 01.01.1965 og det hænger vist sammen med at det er blevet brugt som en "dummy"-fødselsdag for folk der ikke kender deres fødselsdag eller alder, men vurderes til at være født i "nærheden af den dato.
Folk fra lande uden hverken CPR register eller papir register.
Men hvis nu de havde drysset dem lidt tilfældigt ud over året i.s.f. kun på nogle få datoer så kunne vi måske have beholdt mod 11 checket.
Hvis du mener at CPR-nummer systemet er dumt, så er vi enige, men jeg er i tvivl om hvor du vil hen med dit indlæg? (Pas forøvrigt på ikke at forveksle en formel med en algoritme)Unbound (15) skrev:#11
Det ville være pænt dumt, da der allerede er formel for fiktive CPR numre, så man nemt kan kende forskel.
Emil Melgaard (29) skrev:I alle vores systemer der håndterer CPR-numre gemmer vi det som char(10). Også i CPR-registeret hvor der kun er tal i CPR-numrene. Det er bl.a. nødvendigt fordi CPR-nummeret kan starte på 0.
Jeg synes at det giver god mening at gemme CPR nummer som CHAR(10). Der er ikke brug for nogen tal egenskaber (som f.eks. arithmetiske operatorer).
Men jeg vil ikke kalde det nødvendigt p.g.a. muligheden for 0 som første tegn. Det problem er der andre måder at håndtere.
Emil Melgaard (29) skrev:I alle vores systemer der håndterer CPR-numre gemmer vi det som char(10). Også i CPR-registeret hvor der kun er tal i CPR-numrene. Det er bl.a. nødvendigt fordi CPR-nummeret kan starte på 0.
Nogle ville foretrække at gemme det som et tal, det fylder mindre. Får man noget 9-cifret ud sætter man bare et nul foran.
Personligt vil jeg også gemme CPR-numre, postnumre osv. som tekst, da det jo altså minder mere om tekst end tal. Men nu er det altså ikke mig der bestemmer. :)
arne_v (32) skrev:Mort (10) skrev:Så har man jo blot transformeret problemet fra at være et sikkerhedsproblem til at være et denial-of-service problem.
Hvis nogen ikke kan lide dig kan de prøve at tilgå dit CPR nummer 3 gange hver dag, så er du ikke i stand til at købe et telefonabonnement, da dine antal forsøg er opbrugt.
Stort problem *hvis* du lige netop den dag/uge skal have nyt telefon abonnement.
Men det var lige et stort hvis.
Det kan ikke være svært at få en computer til at starte dagen med sådan 3 forsøg. :)
Min umiddelbare tanke: Hvorfor ikke bare verificere en abbonnementsoprettelse med captcha? Det virker jo fint for forums...
Ja, det ville have givet mere mening. Hvis man endeligt ville lave inkompatible ændringer, så var der mange bedre ændringer man kunne have lavet end at droppe checkcifret.arne_v (34) skrev:Men hvis nu de havde drysset dem lidt tilfældigt ud over året i.s.f. kun på nogle få datoer så kunne vi måske have beholdt mod 11 checket.
Formålet med checkcifret er at fange de fleste tastefejl før man skal til at rode med databasen. Nogle anvendelser er også foregået helt offline (omend de nok bliver sjældnere). Den mulighed mister man, og tonsvis af systemer skal ændres. Der er sikkert stadig systemer, som kræver korrekt checksum.
Efter at CPR-numre i årtier har været ikke-hemmelige, giver det ikke mening nu at forsøge at gøre dem hemmelige.
Da jeg var barn opfordrede bl.a. politiet til at man mærkede sine værdifulde ejendele med CPR-nummer, så de var mindre attraktive at stjæle, og så politiet lettere kunne finde rette ejermand, hvis ejendelene skulle dukke op hos en tyv eller hæler, der var blevet knaldet. "Operation Mærkning", hedder kampagnen. Man kunne låne gravørudstyr på politistationen, og mon ikke kampagnen stadig kører?
1. Besked fra myndighederne: Skriv dit CPR-nummer over det hele for at forhindre tyveri.
2. Besked fra myndighederne: Skjul dit CPR-nummer for at forhindre tyveri.
3. Profit???
Hvad tænker de dog på? Man kan ikke først offentliggøre noget, og derefter hemmeligholde det.
Da jeg var barn opfordrede bl.a. politiet til at man mærkede sine værdifulde ejendele med CPR-nummer, så de var mindre attraktive at stjæle, og så politiet lettere kunne finde rette ejermand, hvis ejendelene skulle dukke op hos en tyv eller hæler, der var blevet knaldet. "Operation Mærkning", hedder kampagnen. Man kunne låne gravørudstyr på politistationen, og mon ikke kampagnen stadig kører?
1. Besked fra myndighederne: Skriv dit CPR-nummer over det hele for at forhindre tyveri.
2. Besked fra myndighederne: Skjul dit CPR-nummer for at forhindre tyveri.
3. Profit???
Hvad tænker de dog på? Man kan ikke først offentliggøre noget, og derefter hemmeligholde det.
kasperd (45) skrev:Der er sikkert stadig systemer, som kræver korrekt checksum.
Jeg kender til flere systemer der med vilje kræver modulus-11 tjek stadigvæk. Der er simpelthen så få gyldige CPR-numre der ikke overholder modulus-11 at det er nemmere at håndtere de tilfælde på en anden måde end at skulle tage sig af alle de fejlindtastninger der vil komme hvis man fjerner tjekket.
Det gælder selvfølgelig kun de systemer der ikke har mulighed for at slå op i CPR-registeret, da det jo ellers vil være et bedre tjek.
Taxwars (42) skrev:Og så bør alle skrive til de inkompetente fjolser i folketinget så vi kan få noget lov IMOD at bruge CPR numre til alt muligt.
"Alt muligt"? Pointen med CPR er give folk et unikt nummer der kan bruges til "alt muligt".
Skal man forbyde noget, må det være at bruge CPR-numrene på en måde, som kræver at de er hemmelige. Men det var nok det du mente. :)
arne_v (44) skrev:Næppe.
Men det må være ret nemt at få den IP blokeret/sporet inden der skal bruges et telefon abonnement.
Teoretisk muligt, men næppe praktisk muligt. Hvis du forsøgte at oprette et telefonabonnement og du fik fejlen "Mere end 3 forsøg brugt", så ville du skulle igennem mange lag af tyk beukrati og inkompetente kontorfolk som ikke aner hvordan teknikken fungerer, inden du når til en person kan kan spore en IP addresse og at få den IP addresse blokeret vil være endnu sværere.
Når eller hvis det så endeligt sker, så vil den som udfører denial-of-service angrebet blot kunne finde en anden teleudbyder at misbruge til denial-of-service angrebet.
Mort (49) skrev:mange lag af tyk beukrati og inkompetente kontorfolk
Jeg forstod det som en automatisk spærring. Hvis samme ip spørger på den samme dato temmeligt meget, måske kombineret med at den validerer temmeligt mange invalide CPR-numre i forhold til normen, så kan den måske spærres automatisk.
Det kan dog overgås nemt hvis man har adgang til et godt netværk, så laver man blot hvert forsøg fra en ny IP-adresse.
Så er vi tilbage til at spærre på datoen, hvilket nemt kan misbruge til denial of service.
Eller man kunne bare bruge CPR-numre korrekt, i stedet for at betragte dem som hemmelige.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund