Passwort-Spraying und Credential Stuffing haben viele Gemeinsamkeiten, aber der Hauptunterschied besteht in der Art und Weise, wie der Angriff ausgeführt wird. Mit Credential Stuffing hat der Cyberkriminelle bereits einen Satz von verifizierten Anmeldeinformationen, während der Cyberkriminelle mit Passwort-Spraying die Anmeldeinformationen erraten muss, indem er eine Liste von Benutzernamen mit einem häufig verwendeten Passwort abgleicht.
Lesen Sie weiter, um mehr über Passwort-Spraying und Credential Stuffing zu erfahren, den Unterschied und wie Sie sich vor diesen Angriffen schützen können.
Was ist Passwort-Spraying?
Passwort-Spraying ist eine Art von Brute-Force-Angriff, bei dem Cyberkriminelle versuchen, häufig verwendete Passwörter mit einer Liste von verifizierten Benutzernamen zu paaren, bis sie eine Übereinstimmung erhalten. Mit Passwort-Spraying können Cyberkriminelle Beschränkungen für Anmeldeversuche und Kontosperrungen vermeiden, indem sie dasselbe Passwort für verschiedene Konten verwenden. Sie nutzen Benutzer aus, die schlechte Passwortgewohnheiten praktizieren, wie z. B. die Verwendung schwacher und vorhersehbarer Passwörter, um ihre Online-Konten zu schützen.
Passwort-Spraying beginnt mit einem Cyberkriminellen, der eine Liste von Benutzernamen aus Online-Verzeichnissen, dem Darknet oder anderen offenen Quellen erhält. Cyberkriminelle sammeln dann eine Liste häufig verwendeter Passwörter und führen ein automatisiertes Programm aus, um ein Passwort für die Kombination mit der Liste der Benutzernamen auszuwählen, bis sie so viele Übereinstimmungen wie möglich erhalten. Sobald der Cyberkriminelle die Liste der Benutzernamen mit dem ersten Passwort durchlaufen hat, wiederholt er den Vorgang mit derselben Liste von Benutzernamen, aber mit einem anderen Passwort.
Was ist Credential Stuffing?
Credential Stuffing ist eine weitere Art von Brute-Force-Angriff, bei dem ein Cyberkrimineller einen Satz von verifizierten Anmeldeinformationen stiehlt oder kauft und sie verwendet, um sich Zugriff auf mehrere Konten zu verschaffen. Cyberkriminelle verlassen sich auf die Wiederverwendung desselben Passworts für mehrere Konten. Der US Password Practice Report 2022 von Keeper hat die Effektivität von Credential Stuffing gezeigt, da 56 % der Benutzer ihre Passwörter wiederverwenden.
Cyberkriminelle erhalten oft den Satz von Anmeldeinformationen von einer Datenschutzverletzung, einem früheren Cyberangriff oder im Darknet. Sobald der Cyberkriminelle den Satz von verifizierten Anmeldeinformationen hat, verwendet er ein automatisiertes Tool, um die Anmeldeinformationen auf mehreren Plattformen einzugeben, um sich Zugriff auf diese Konten zu verschaffen. Manchmal verwenden Cyberkriminelle leichte Variationen der Anmeldeinformationen, um sich Zugriff auf die anderen Konten des Benutzers zu verschaffen.
Der Unterschied zwischen Passwort-Spraying und Credential Stuffing
Passwort-Spraying und Credential Stuffing sind beide Arten von Brute-Force-Angriffen, die schädliche Auswirkungen auf Benutzer hinterlassen können. Wenn Passwort-Spraying und Credential Stuffing-Angriffe erfolgreich sind, können sie zu Kontoübernahmen führen, bei denen Cyberkriminelle die volle Kontrolle über das Konto eines Benutzers haben, um es für ihren eigenen Gewinn zu verwenden. Cyberkriminelle hätten Zugriff auf die personenbezogenen Daten (PII) eines Opfers, die für Identitätsdiebstahl und andere Arten von Betrug verwendet werden können.
Passwort-Spraying und Credential Stuffing unterscheiden sich jedoch in ihren Methoden zur Erlangung unbefugten Zugriffs. Mit Credential Stuffing hat der Cyberkriminelle bereits einen verifizierten Satz von Anmeldeinformationen, die verwendet werden können, um sich Zugriff auf mehrere Konten für einen Benutzer zu verschaffen. Passwort-Spraying hat keinen Satz von Anmeldeinformationen und muss sie erraten, indem es häufig verwendete Passwörter mit einer Liste von Benutzernamen abgleicht. Passwort-Spraying greift mehrere Benutzer an, anstatt nur auf einen abzuzielen.
So verhindern Sie Passwort-Spraying und Credential Stuffing
Passwort-Spraying und Credential Stuffing können leicht verhindert werden, indem gute Passworthygiene praktiziert wird. Passworthygiene bezieht sich auf die Best Practices und Gewohnheiten, um die Passwortsicherheit zu gewährleisten. Im Folgenden finden Sie einige der Möglichkeiten, wie Sie Passwort-Spraying und Credential Stuffing verhindern können.
Verwenden Sie starke und einzigartige Passwörter
Passwort-Spraying nutzt Benutzer aus, die schwache und vorhersehbare Passwörter verwenden, um ihre Online-Konten zu schützen. Um zu verhindern, dass Passwort-Spraying Ihre Passwörter errät, sollten Sie starke Passwörter verwenden, um Ihre Online-Konten zu schützen. Ein starkes Passwort ist eine einzigartige Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, die mindestens 16 Zeichen lang ist. Es enthält keine persönlichen Informationen, fortlaufende Zahlen oder Buchstaben oder häufig verwendete Wörterbuchwörter.
Credential Stuffing beruht auf Benutzern, die ihre Passwörter für mehrere Konten wiederverwenden. Um zu verhindern, dass Cyberkriminelle Credential Stuffing verwenden und Zugriff auf Ihre Konten erhalten, sollten Sie für jedes Ihrer Konten ein einzigartiges Passwort verwenden und die Wiederverwendung von Passwörtern vermeiden. Die Verwendung eines starken und einzigartigen Passworts für jedes Ihrer Online-Konten verhindert sowohl Credential Stuffing als auch Passwort-Spraying, was es für Cyberkriminelle erschwert, Ihre Passwörter zu knacken.
Aktivieren Sie MFA
Multifaktor-Authentifizierung (MFA) ist ein Sicherheitsprotokoll, das die Bereitstellung zusätzlicher Formen der Authentifizierung erfordert. Um Zugriff auf ein Konto zu erhalten, müssen Benutzer ihre Anmeldeinformationen und mindestens eine zusätzliche Form der Verifizierung angeben, wie z. B. ein zeitbasiertes Einmalpasswort (TOTP). MFA fügt eine zusätzliche Sicherheitsebene hinzu und stellt sicher, dass nur autorisierte Benutzer Zugriff auf Ihr Konto haben. Selbst wenn Ihre Anmeldeinformationen kompromittiert wurden, könnten Cyberkriminelle nicht auf Ihr Konto zugreifen, da Ihre Konten durch MFA geschützt sind und sie den oder die anderen Authentifizierungsfaktor(en) nicht haben.
Speichern Sie Ihre Passwörter in einem Password Manager
Ein Password Manager ist ein Tool, das Ihre persönlichen Informationen sicher in einem digitalen, verschlüsselten Tresor speichert und verwaltet. Mit einem Password Manager können Sie alle Ihre Passwörter verfolgen und jederzeit auf sie zugreifen. Ihr digitaler Tresor ist durch mehrere Verschlüsselungsebenen geschützt und der Zugriff ist nur mit einem Master-Passwort möglich. Ein Password Manager stellt auch sicher, dass jedes Ihrer Passwörter geschützt ist, indem er alle schwachen oder wiederverwendeten Passwörter identifiziert und Sie auffordert, sie mit dem integrierten Passwortgenerator zu stärken.
Cyberkriminelle können Anmeldeinformationen im Darknet finden und sie für Passwort-Spraying oder Credential Stuffing-Angriffe verwenden. Um Passwort-Spraying und Credential Stuffing zu verhindern, sollten Sie in ein Darknet-Überwachungstool investieren.
Darknet-Überwachung ist ein Tool, das das Darknet scannt und auf bestimmte persönliche Daten wie Ihre Anmeldeinformationen überwacht. Wenn ein Darknet-Überwachungstool kompromittierte Daten findet, alarmiert es Sie und fordert Sie auf, Maßnahmen zu ergreifen, wie z. B. Ihre Passwörter zu ändern, bevor Cyberkriminelle es verwenden können, um sich unbefugten Zugriff zu verschaffen.
Aktivieren Sie Benachrichtigungen für Anmeldeversuche
Um zu erkennen, ob ein unbefugter Benutzer auf Ihr Konto zuzugreifen versucht, sollten Sie Benachrichtigungen für Anmeldeversuche für Ihre Konten aktivieren. Diese Benachrichtigungen warnen Sie jedes Mal, wenn jemand versucht hat, sich bei Ihrem Konto anzumelden, oder ein unbekannter Benutzer sich kürzlich bei Ihrem Konto angemeldet hat. Dies alarmiert Sie, dass ein Cyberkrimineller Sie mit einer Art von Brute-Force-Angriff angreift, und ermöglicht es Ihnen, sofort Maßnahmen zu ergreifen.
Bleiben Sie über Cyberbedrohungen informiert
Cyberkriminelle nutzen eine Vielzahl von Cyberangriffen, um Ihre Anmeldeinformationen zu stehlen, die sie für Passwort-Spraying und Credential Stuffing verwenden können. Sie müssen über die verschiedenen Arten von Cyberangriffen informiert bleiben, die Cyberkriminelle verwenden, um sie zu erkennen und zu vermeiden.
Cyberkriminelle nutzen Phishing, um Benutzer dazu zu bringen, ihre Anmeldeinformationen preiszugeben. Sie senden E-Mails oder Textnachrichten mit einem bösartigen Anhang oder Link, der sich als ein bekanntes Gesicht wie ein legitimes Unternehmen ausgibt. Wenn ein Benutzer auf den Link klickt, wird entweder Malware auf sein Gerät heruntergeladen bzw. wird er zu einer gefälschten Website weitergeleitet. Die gefälschte Website fordert den Benutzer auf, seine Anmeldeinformationen preiszugeben.
Schützen Sie Ihre Passwörter mit Keeper®
Passwort-Spraying und Credential Stuffing können schädliche Auswirkungen auf Benutzer haben, die schwache oder wiederverwendete Passwörter verwenden. Sie können jedoch leicht vermieden werden, wenn ein Benutzer seine Online-Konten mit starken und einzigartigen Passwörtern schützt und MFA aktiviert. Der durchschnittliche Benutzer hat rund 20 Passwörter, die er verfolgen muss. Es ist äußerst schwierig, ein starkes und einzigartiges Passwort für jedes Konto selbst zu verwalten. Um Ihre Konten am besten zu schützen, sollten Sie einen Password Manager verwenden.
Keeper Password Manager ist Zero-Trust und Zero-Knowledge, was sicherstellt, dass nur Sie Zugriff auf Ihre persönlichen Daten haben. Mit KeeperFill können Sie Ihre Passwörter auf jedem Gerät leicht verwalten und die Anmeldung mit KeeperFill vereinfachen.