[ archief ] Nationale Nederlanden: verstuurt inloggegevens via mail

[hsander79]

Hallo,

Nationale Nederlanden heeft Westland Utrecht overgenomen en is gisteren gestart met een migratie van oude naar nieuwe rekeningen. Gisteravond hebben ze een nieuwe gebruikersnaam en vanmorgen 7u een nieuw wachtwoord verstuurd. Gewoon over de mail! Net even met ze gebeld, maar blijkbaar vinden ze dat heel normaal.

Ik heb dit nog nooit meegemaakt. Is dit normaal bij NN?

Groeten,

Sander

[olaf79]

Het is inderdaad ongelooflijk hoeveel bedrijven er wachtwoorden versturen per email voor belangrijke accounts als verzekeringen, bankzaken etc.

De juiste praktijk is natuurlijk om of via digid of via een authenticatie de klant zelf zijn wachtwoord te laten kiezen en deze NOOIT maar dan ook NOOIT per email te versturen.
Je weet niet wie die email ziet of wie er meekijkt en email is helaas bij de meeste providers ook onversleuteld.

Dus wat mij betreft terecht dat je hier moeite mee hebt.

[Jantje7]

Toch is het de veiligste manier. Zodra je het wachtwoord hebt ontvangen kun je het direct wijzigen.
Begrijp niet wat daar mis mee is.

[olaf79]

Het is inderdaad ongelooflijk hoeveel bedrijven er wachtwoorden versturen per email voor belangrijke accounts als verzekeringen, bankzaken etc.

De juiste praktijk is natuurlijk om of via digid of via een authenticatie de klant zelf zijn wachtwoord te laten kiezen en deze NOOIT maar dan ook NOOIT per email te versturen.
Je weet niet wie die email ziet of wie er meekijkt en email is helaas bij de meeste providers ook onversleuteld.

Dus wat mij betreft terecht dat je hier moeite mee hebt.

Die email is in ieder geval door de Russen en de Amerikanen opgeslagen

Email is zoveel veiliger dan een brief. Zo'n brief gaat door vele handen, hangt half uit de brievenbus etc.
In de meeste gevallen krijg je een tijdelijk wachtwoord en moet je direct een nieuw wachtwoord aanmaken bij de eerste keer inloggen. Wat ook steeds vaker gebeurd (o.a. bij DigiD) is een SMS met een controle getal. Veiliger kan het bijna niet.

Ja maar dat is dus wat anders dan hier is gebeurd. Een wachtwoord per email is uit den boze (behalve misschien voor een forum als Radar). Dmv een flink aantal gegevens kun je de klant een account met zelf gekozen wachtwoord laten aanmaken. Te denken valt o.a. aan klantnummer, geboortedatum, rekeningnummer, sms, inderdaad.

Maar een bedrijf dat login gegevens per email stuurt neemt de beveiliging niet erg serieus.

[hsander79]

Een brief gaat inderdaad ook door vele handen, maar toch is een email fraudegevoeliger. Feit is ook nog, dat de logingegevens pas vanaf maandag te gebruiken zijn, met een geldigheid van 30 dagen. Dus er liggen nu bij alle klanten van WestlandUtrecht minimaal 3 dagen inloggegevens in hun mailbox...

[Jefdus]

Ik neem aan dat het hier over een nieuw door NN gegenereerd wachtwoord gaat? Dan is dit gewoon de standaard procedure. Na ontvangst kunt u zelf het wachtwoord wijzigen. Als het om het wachtwoord gaat dat u zelf eerder bij Westland Utrecht heeft aangemaakt, dan is dit zeker iets wat ze niet zo maar via de mail zouden moeten sturen. Maar ja, dat verwacht ik hier niet want waarom zouden ze u een wachtwoord opsturen dat u zelf heeft aangemaakt en dus al weet?

[Bob Schurkjens]

Per post kan ook niet: die wordt regelmatig verkeerd bezorgd.

[Shine]

Heb zelf een oud Westland... Rekeningnummer dat is overgenomen door NN en nu écht helemaal onder NN valt met nieuw rekeningnummer en inloggegevens. M.a.w ook ik heb de bewuste emailS gehad.

Het verhaal dat TS verteld is niet compleet.
We hebben 2 afzonderlijke emails ontvangen op 2 verschillende dagen. (22 en 23 oktober)
De eerste email bevatte de nieuwe gebruikersnaam, de 2e email een nieuw bijbehorende wachtwoord.
Inloggen kan trouwens pas vanaf 27 oktober. Als je voor de eerste keer inlogt wordt je ook gedwongen om zelf een nieuw wachtwoord aan te maken, waardoor het wachtwoord dat wij nu per email hebben gekregen zal vervallen.
Ik vind het totaal geen probleem dat het op deze manier plaatsvindt. Ik zie hier niet meer risico in dan via de reguliere post.
De info die NN ons steeds via email stuurt inzake deze verandering is netjes. Op 20-10 hebben we email gehad met daarin ons nieuw rekeningnummer(s).

[paugie=w]

Het lijkt heel veilig omdat alles volgens de voorgestelde methode en dagen verstuurd wordt. Ook het feit dat je een inlogcode krijgt die je direct de eerste keer moet veranderen lijkt veilig,maar dat is het nou net niet. Alles wordt via e-mail als platte tekst verstuurd.
Als de mails via "man in the middle" methode worden onderschept heeft de onderschepper vanaf maandag direct de mogelijkheid om je spaarrekening leeg te halen. Tenminste als hij er eerder bij is dan jij. Als je snel ingelogd bent en je hebt je wachtwoord aangepast dan is die kans verkeken.

Als het onderschept is en je rekening wordt op maandagmorgen leeg gehaald, is NN dan aansprakelijk ??

[Jefdus]

Het lijkt heel veilig omdat alles volgens de voorgestelde methode en dagen verstuurd wordt. Ook het feit dat je een inlogcode krijgt die je direct de eerste keer moet veranderen lijkt veilig,maar dat is het nou net niet. Alles wordt via e-mail als platte tekst verstuurd.
Als de mails via "man in the middle" methode worden onderschept heeft de onderschepper vanaf maandag direct de mogelijkheid om je spaarrekening leeg te halen. Tenminste als hij er eerder bij is dan jij. Als je snel ingelogd bent en je hebt je wachtwoord aangepast dan is die kans verkeken.

Als het onderschept is en je rekening wordt op maandagmorgen leeg gehaald, is NN dan aansprakelijk ??

Ik kan me toch niet voorstellen dat het hier gaat over een rekening waarvan vrij geld overgeboekt kan worden met enkel een inlognaam en wachtwoord als beveiliging. Enkel wachtwoordbeveiliging zie je volgens mij alleen maar bij internetspaarrekeningen zoals bij de ASN waarbij je alleen geld kunt overmaken naar een vaststaande tegenrekening. Zelfs als iemand alle inloggegevens heeft onderschept, kan hij hiermee dus niet de rekening plunderen. Het ergste wat dan kan gebeuren is dat die persoon inzicht krijgt in de balanshistorie, maar daar zitten de criminelen niet op te wachten dus daar zullen ze de moeite niet voor nemen.

Als het hier wel om een betaalrekening gaat waarbij de enige beveiliging een loginnaam en wachtwoord is, zou ik heel erg snel mijn geld daar weghalen...

[paugie=w]

@jefdus
het is inderdaad een internetspaarrekening die in principe alleen overboekt naar een tegenrekening. Echter als je in het bezit bent van de inlognaam en wachtwoord kan je natuurlijk ook snel het nummer van de tegenrekening aanpassen. En dan de boel leeg halen. Tenminste als je er maandmorgen de eerste bent.
NN geeft geen enkele indicatie dat er bijvoorbeeld niks afgeboekt kan worden voordat er (bijvoorbeeld) weer een bedrag van de tegenrekening gestort is. Dat geeft je een garantie de de gewenste link aanwezig is.

[hsander79]

Het lijkt heel veilig omdat alles volgens de voorgestelde methode en dagen verstuurd wordt. Ook het feit dat je een inlogcode krijgt die je direct de eerste keer moet veranderen lijkt veilig,maar dat is het nou net niet. Alles wordt via e-mail als platte tekst verstuurd.
Als de mails via "man in the middle" methode worden onderschept heeft de onderschepper vanaf maandag direct de mogelijkheid om je spaarrekening leeg te halen. Tenminste als hij er eerder bij is dan jij. Als je snel ingelogd bent en je hebt je wachtwoord aangepast dan is die kans verkeken.

Als het onderschept is en je rekening wordt op maandagmorgen leeg gehaald, is NN dan aansprakelijk ??

Ik kan me toch niet voorstellen dat het hier gaat over een rekening waarvan vrij geld overgeboekt kan worden met enkel een inlognaam en wachtwoord als beveiliging. Enkel wachtwoordbeveiliging zie je volgens mij alleen maar bij internetspaarrekeningen zoals bij de ASN waarbij je alleen geld kunt overmaken naar een vaststaande tegenrekening. Zelfs als iemand alle inloggegevens heeft onderschept, kan hij hiermee dus niet de rekening plunderen. Het ergste wat dan kan gebeuren is dat die persoon inzicht krijgt in de balanshistorie, maar daar zitten de criminelen niet op te wachten dus daar zullen ze de moeite niet voor nemen.

Als het hier wel om een betaalrekening gaat waarbij de enige beveiliging een loginnaam en wachtwoord is, zou ik heel erg snel mijn geld daar weghalen...

Bovenstaande is precies mijn punt: als maandag een hacker mij te snel af is, heb ik minimaal een probleem met inloggen. Ik heb het even nagekeken, er wordt bij NN inderdaad met een vaste tegenrekening gewerkt. Dat valt dus gelukkig mee, mits je de tegenrekening niet online kunt veranderen. Vandaag heb ik even gebeld met NN en hun reactie was "ja hoor, dat is heel normaal". Ik had het iig nog nooit zo meegemaakt.

[paugie=w]

@jefdus
kijk nog even naar mijn reactie van 20:59

[Jefdus]

@jefdus
het is inderdaad een internetspaarrekening die in principe alleen overboekt naar een tegenrekening. Echter als je in het bezit bent van de inlognaam en wachtwoord kan je natuurlijk ook snel het nummer van de tegenrekening aanpassen. En dan de boel leeg halen. Tenminste als je er maandmorgen de eerste bent.
NN geeft geen enkele indicatie dat er bijvoorbeeld niks afgeboekt kan worden voordat er (bijvoorbeeld) weer een bedrag van de tegenrekening gestort is. Dat geeft je een garantie de de gewenste link aanwezig is.

De tegenrekening kan alleen, in ieder geval bij de ASN waar ik zelf een rekening heb, schriftelijk met een ondertekend formulier gewijzigd worden. Het hele idee van een vaste tegenrekening is juist dat fraude, vanwege de relatief slechte beveiliging (wat enkel een combinatie van een inlognaam en wachtwoord natuurlijk is), niet mogelijk is. Ik heb zelf geen rekening bij NN, maar ik verwacht toch wel dat ook daar online de tegenrekening niet veranderd kan worden. Anders valt namelijk meteen een groot deel van de voordelen van een vaste tegenrekening weg

[CB]

Een brief gaat inderdaad ook door vele handen, maar toch is een email fraudegevoeliger. Feit is ook nog, dat de logingegevens pas vanaf maandag te gebruiken zijn, met een geldigheid van 30 dagen. Dus er liggen nu bij alle klanten van WestlandUtrecht minimaal 3 dagen inloggegevens in hun mailbox...

Is dat password niet voor éénmalig gebruik om de 1e keer mee in te logge? Ook ik heb deze gegevens van NN ontvangen voor een account bij de NN (dus niet WU). Ik moest echter verplicht na de 1e keer inloggen meteen het password wijzigen. Dat heb ik overigens ook bij andere instellingen meegemaakt.

[hsander79]

Een brief gaat inderdaad ook door vele handen, maar toch is een email fraudegevoeliger. Feit is ook nog, dat de logingegevens pas vanaf maandag te gebruiken zijn, met een geldigheid van 30 dagen. Dus er liggen nu bij alle klanten van WestlandUtrecht minimaal 3 dagen inloggegevens in hun mailbox...

Is dat password niet voor éénmalig gebruik om de 1e keer mee in te logge? Ook ik heb deze gegevens van NN ontvangen voor een account bij de NN (dus niet WU). Ik moest echter verplicht na de 1e keer inloggen meteen het password wijzigen. Dat heb ik overigens ook bij andere instellingen meegemaakt.

Dat klopt, voor de 1e keer. Dus als je te laat bent, heb je pech

[CB]

@hsander79,

Gebruikersnaam en password afzonderlijk versturen doet NN (maar ook andere bedrijven) per mail. Wat is er verkeerd aan deze methode volgens jouw.

Er zijn ook bedrijven die het via de post doen. Heb je dat dan liever?

[hsander79]

Volgens mij is het standaard dat je inloggegevens via gescheiden media naar klanten stuurt. Welke nu het veiligste is, is een smaakkwestie. Misschien moet ik mijn beeld mbt bankzaken via de mail bijstellen

[CB]

Volgens mij is het standaard dat je inloggegevens via gescheiden media naar klanten stuurt.

Dat doen ze toch. Eerst een mail/brief met je account en één of een paar dagen later een mail/brief met het password.

[olaf79]

Volgens mij is het standaard dat je inloggegevens via gescheiden media naar klanten stuurt. Welke nu het veiligste is, is een smaakkwestie. Misschien moet ik mijn beeld mbt bankzaken via de mail bijstellen

Tsja, in geval van geld zaken is 2-way authenticatie het veiligst. Dus bijvoorbeeld inloggen via een gebruikersnaam en wachtwoord EN via een SMS code.

Ik blijf het knullig en onacceptabel vinden dat een bank wachtwoorden onbeveiligd verstuurd. Vooral als je bedenkt dat wij als klant onze zaken niet goed beveiligen wij een probleem hebben.