beantwoord

spam


Vandaag kreeg ik een mail van de NS met de boodschap om een sterk wachtwoord in te stellen voor Mijn NS. Mijn wachtwoord is sterk. Is dit spam?

icon

Beste antwoord door mrfreeze 21 mei 2021, 16:08

Nee, dit is geen spam. NS kan natuurlijk (als het goed is) niet zien of u een sterk wachtwoord heeft. Een gewaarschuwd mens telt voor twee :wink:

p.s. Het is niet nodig uw vraag in meerdere topics te stellen

Bekijk origineel

17 reacties

Reputatie 7
Badge +3

Nee, dit is geen spam. NS kan natuurlijk (als het goed is) niet zien of u een sterk wachtwoord heeft. Een gewaarschuwd mens telt voor twee :wink:

p.s. Het is niet nodig uw vraag in meerdere topics te stellen

Dank,

En m.b.t. p.s. Ik zag pas later dat het topic waar ik mijn vraag geplaatst had, al 2 jaar oud was… en dacht: daar kijkt niemand meer op.

Nomaals dank en fijn weekend.

Reputatie 7
Badge +3

Dank,

En m.b.t. p.s. Ik zag pas later dat het topic waar ik mijn vraag geplaatst had, al 2 jaar oud was… en dacht: daar kijkt niemand meer op.

Nomaals dank en fijn weekend.

De meeste vaste forumleden sorteren op de nieuwste reacties, ongeacht hoe oud het betreffende topic is. Maar dat moet je ook maar net weten :slight_smile: Goed weekend!

Wilde gok:

 

https://tweakers.net/nieuws/181924/ns-reset-wachtwoorden-van-2100-accounts-na-credential-stuffing-aanval.html

Reputatie 7
Badge +3

En  https://www.ns.nl/privacy/gebruik-een-veilig-wachtwoord.html

Reputatie 7
Badge +3

Die pagina is inderdaad zo'n beetje de inhoud van de betreffende e-mail. Ik heb 'm zelf ook ontvangen. Ik ga er eigenlijk vanuit dat iedereen met een Mijn NS-account deze heeft gekregen?

Reputatie 7
Badge +3

Dat idee heb ik ook. Gewoon een algemene mail aan iedereen met een account en dat kun je zelf beoordelen of het nodig is je wachtwoord te veranderen.

En een keertje voor de zekerheid navragen of die mail echt wel van NS afkomstig is kan geen kwaad. Beter een keer teveel dan een keer te weinig en in een phishing mail trappen.

Badge +3

Over die mail kwamen gisteren al meldingen voorbij, maar misschien dat ze hem nu maar aan iedereen gestuurd hebben? (half uur geleden ontvangen)

Volgens Tweakers zouden er accounts geblokkeerd zijn, maar dat is bij mij niet het geval. Ik vind het verder wel prima, want de mail spreekt over inloggegevens die door datalekken bij andere bedrijven verkregen zijn. Maar met die inloggegevens kom je echt mijn Mijn NS accounts niet binnen.

Voor de rest het verhaal over sterke wachtwoorden (hoofdletters, cijfers, leestekens..) Dat is grote onzin want een (hoofd)letter, cijfer of leesteken is voor een computer allemaal precies hetzelfde.

De lengte van een wachtwoord is veel belangrijker, en natuurlijk dat het niet makkelijk te raden is (dictionary attack) maar bij voorkeur wel makkelijk door jouzelf te onthouden.

Dus ‘1Koffie!’ vindt de NS prima (sterk) (Edit: men wil nu minimaal 10 tekens dus ‘1SterkeKoffie!’)

Maar ‘alsikmetdetreingamoetiknietvergetenintechecken’ zonder hoofdletters e.d. (want dat maakt dus helemaal niets uit) duurt miljarden jaren langer om te ‘kraken’ dan iets van 8 tekens. Bij elk extra teken duurt het namelijk meer dan 100 keer langer.

Ik ga er eigenlijk vanuit dat iedereen met een Mijn NS-account deze heeft gekregen?

Njet

Reputatie 6
Badge

-voorheen waren er echter zeer vaak MAX lengtes aan ww, weet niet of dit voor NS mogelijk nog steeds geldt

-ja, heb deze mail ook ontvangen en dacht eerst zelf dat ze mogelijk ieder die al > 1 jr zelfde ww benut mailen

-maar ziet er eerder naar uit dat er in HGB III-al is dat er meen ik niet meer, iemand wakker is geworden of een slimme stageaire die een net geleerd lesje wil toepassen. Als blikk van:: als je nu toch nog gekraakt wordt dan is het niet onze schuld, wij hebben gewaarschouwd!

Badge +3

Om de zoveel tijd je wachtwoord moeten wijzigen is ook grote onzin, want dan gaan mensen vaak werken met volgnummers of iets anders dat ze zinnig lijkt.

Als je wachtwoord ‘NSmei2021!’ is en je dat vervolgens verandert in ‘NSjuni2021!’ maakt dat weinig uit…

Feit is wel dat je nieuwe wachtwoord dan 1 teken langer is, en dus per definitie meer dan 100 keer ‘sterker’ is, voor een hacker of computer die niet weet dat er mei stond in je vorige wachtwoord.

Weet een hacker je oude wachtwoord wél (mei), dan is het simpel natuurlijk (juni)… :rolling_eyes:

 

Vindt NS ‘mvdzig’ een sterk wachtwoord?

Ik ga er eigenlijk vanuit dat iedereen met een Mijn NS-account deze heeft gekregen?

Njet

Te enthousiast, ergens in de donkere uithoeken van Office365 kwam ineens een mailtje tevoorschijn met een timestamp van vrijdag :)

Reputatie 6
Badge

Vindt NS ‘mvdzig’ een sterk wachtwoord?

Ik snap wat je bedoelt: De 'uitgelekte’ vroegere NS-API die jan-en-alleman ging gebruiken toen ruim 10 jaar geleden (zo lang alweer!) iemand de data van de NS uitpluisde. Heeft niks met veiligheid te maken, want een gemiddeld iemand kijkt niet in de requests van een app. 😁

Oh lol. Ik zie dat die credentials nog werken. Enkele webservices lijken niet meer goed te reageren, en de opbouw is al jaren niet meer meer veranderd. het verbaast me dat deze RPX-nostalgie nog werkt. Het API-Portal is een stuk uitgebreider...

 

Voor de rest het verhaal over sterke wachtwoorden (hoofdletters, cijfers, leestekens..) Dat is grote onzin want een (hoofd)letter, cijfer of leesteken is voor een computer allemaal precies hetzelfde.

De lengte van een wachtwoord is veel belangrijker, en natuurlijk dat het niet makkelijk te raden is (dictionary attack) maar bij voorkeur wel makkelijk door jouzelf te onthouden.

Dus ‘1Koffie!’ vindt de NS prima (sterk) (Edit: men wil nu minimaal 10 tekens dus ‘1SterkeKoffie!’)

Maar ‘alsikmetdetreingamoetiknietvergetenintechecken’ zonder hoofdletters e.d. (want dat maakt dus helemaal niets uit) duurt miljarden jaren langer om te ‘kraken’ dan iets van 8 tekens. Bij elk extra teken duurt het namelijk meer dan 100 keer langer.

 

Nee, dat is geen onzin. De denkfout die je maakt is dat hackers ook andere methoden gebruiken dan alleen brute kracht. Het gaat echt niet om de lengte alleen. Daarom is het stelen van persoonlijke gegevens ook zo aantrekkelijk voor hackers; ze kunnen dan veel gerichter wachtwoorden raden.

‘alsikmetdetreingamoetiknietvergetenintechecken’ kan wel eens veel makkelijker te raden zijn dan b.v. ‘4kil#ps3\kbP’, als de hacker een profiel van je heeft met ‘spreekt Nederlands’ en ‘is treinreiziger’.

Ik snap wat je bedoelt: De 'uitgelekte’ vroegere NS-API 

Ach, zo zijn er nog wel meer, met jaartallen in de naam bijvoorbeeld. Dan weet je meteen dat hij al 7 jaar hetzelfde is ;) Maar mvdzig durfde ik wel hardop te noemen, die staat toch al openbaar.

Badge +3

Zie nog een mail van woensdag van Greenwheels (onderdeel/partner van NS):

Kies een sterk en uniek wachtwoord
Hi Robert,
Cybercriminelen richten zich op alles wat waarde heeft, dus ook op jouw persoonsgegevens. De afgelopen periode zijn er datalekken geconstateerd bij verschillende bedrijven. Bij Greenwheels is dit niet gebeurd. Wel zien we dat cybercriminelen met eerder verkregen inloggegevens ook proberen toegang te krijgen tot Greenwheels-accounts. Iets dat we uiteraard zoveel mogelijk willen voorkomen.

De veiligheid van jouw persoonsgegevens staat voorop. Daarom informeren we je graag over het belang van een sterk en uniek wachtwoord. Maak je nog geen gebruik van een sterk en uniek wachtwoord voor je Greenwheels account? Stel dan je wachtwoord opnieuw in.

Reageer