Wachtwoordspraying en credential stuffing hebben veel gemeen, maar het grootste verschil zit in de manier waarop de aanval wordt uitgevoerd. Met credential stuffing heeft de cybercrimineel al een reeks geverifieerde inloggegevens, terwijl de cybercrimineel bij wachtwoordspraying de inloggegevens moet raden door een lijst met gebruikersnamen te matchen met een veelgebruikt wachtwoord.
Lees verder voor meer informatie over wachtwoordspraying en credential stuffing, het verschil tussen hen en hoe u uzelf tegen deze aanvallen kunt beschermen.
Wat is wachtwoordspraying?
Wachtwoordspraying is een soort brute force-aanval waarbij cybercriminelen veelgebruikte wachtwoorden proberen te koppelen aan een lijst met geverifieerde gebruikersnamen totdat ze een overeenkomst krijgen. Met wachtwoordspraying kunnen cybercriminelen inlogpogingen en accounblokkeringen voorkomen doordat ze hetzelfde wachtwoord gebruiken voor verschillende accounts. Ze maken misbruik van gebruikers die slechte wachtwoordgewoonten hebben, zoals het gebruik van zwakke en voorspelbare wachtwoorden om hun online accounts te beschermen.
Wachtwoordspraying begint met een cybercrimineel die een lijst met gebruikersnamen verwerft uit online directories, het dark web of andere open bronnen. Cybercriminelen verzamelen vervolgens een lijst met veelgebruikte wachtwoorden en voeren een geautomatiseerd programma uit om een wachtwoord te kiezen dat wordt gekoppeld aan de lijst met gebruikersnamen totdat ze zoveel mogelijk overeenkomsten krijgen. Zodra de cybercrimineel de lijst met gebruikersnamen met het eerste wachtwoord heeft doorlopen, herhalen ze het proces met dezelfde lijst met gebruikersnamen, maar dan met een ander wachtwoord.
Wat is credential stuffing?
Credential stuffing is een ander soort brute force-aanval waarbij een cybercrimineel een reeks geverifieerde inloggegevens steelt of koopt en deze gebruikt om toegang te krijgen tot meerdere accounts. Cybercriminelen vertrouwen op het hergebruik van hetzelfde wachtwoord voor meerdere accounts. Het 2022 US Password Practice Report van Keeper heeft de effectiviteit van credential stuffing aangetoond, omdat 56% van de gebruikers hun wachtwoorden hergebruikt.
Cybercriminelen krijgen vaak de set inloggegevens van een gegevensinbreuk, een vorige cyberaanval of op het dark web. Zodra de cybercrimineel de reeks geverifieerde inloggegevens heeft, gebruiken ze een geautomatiseerde tool om de inloggegevens op meerdere platforms in te voeren om toegang te krijgen tot die accounts. Soms gebruiken cybercriminelen kleine variaties van de inloggegevens om toegang te krijgen tot de andere accounts van de gebruiker.
Het verschil tussen wachtwoordspraying en credential stuffing
Wachtwoordspraying en credential stuffing zijn beide soorten brute force-aanvallen die een schade kunnen toebrengen aan gebruikers. Als wachtwoordspraying en credential stuffing-aanvallen succesvol zijn, kunnen ze leiden tot accountovernames, waarbij cybercriminelen volledige controle hebben over het account van een gebruiker zodat ze er hun eigen voordeel mee kunnen behalen. Cybercriminelen hebben toegang tot de persoonlijk identificeerbare gegevens (PII) van een slachtoffer, die kunnen worden gebruikt om identiteitsdiefstal en andere soorten fraude te plegen.
Wachtwoordspraying en credential stuffing verschillen echter wat betreft hun methoden om onbevoegde toegang te krijgen. Met credential stuffing heeft de cybercrimineel al een geverifieerde reeks inloggegevens die kunnen worden gebruikt om toegang te krijgen tot meerdere accounts voor één gebruiker. Wachtwoordspraying heeft geen reeks inloggegevens en moet ze raden door veelgebruikte wachtwoorden te matchen met een lijst met gebruikersnamen. Wachtwoordspraying valt meerdere gebruikers aan in plaats van zich op slechts één persoon te richten.
Zo voorkomt u wachtwoordspraying en credential stuffing
Wachtwoordspraying en credential stuffing kunnen gemakkelijk worden voorkomen door een goede wachtwoordhygiëne te hanteren. Wachtwoordhygiëne verwijst naar de beste gewoonten om wachtwoordbeveiliging te handhaven. Dit zijn enkele manieren waarop u wachtwoordspraying en credential stuffing kunt voorkomen.
Gebruik sterke en unieke wachtwoorden
Wachtwoordspraying misbruikt gebruikers die zwakke en voorspelbare wachtwoorden gebruiken om hun online accounts te beschermen. Om te voorkomen dat uw wachtwoorden worden geraden via wachtwoordspraying, moet u sterke wachtwoorden gebruiken om uw online accounts te beschermen. Een sterk wachtwoord is minimaal 16 tekens lang en bevat een willekeurige combinatie van hoofdletters, kleine letters, cijfers en speciale tekens. Het bevat geen persoonlijke gegevens, opeenvolgende cijfers of letters of veelgebruikte woordenboekwoorden.
Credential stuffing is afhankelijk van gebruikers die hun wachtwoorden hergebruiken voor meerdere accounts. Om te voorkomen dat cybercriminelen credential stuffing gebruiken en toegang krijgen tot uw accounts, moet u een uniek wachtwoord gebruiken voor al uw accounts en geen wachtwoorden hergebruiken. Het gebruik van een sterk en uniek wachtwoord voor al uw online accounts voorkomt zowel credential stuffing als wachtwoordspraying, waardoor het voor cybercriminelen moeilijk wordt om uw wachtwoorden te kraken.
Schakel MFA in
Multifactorauthenticatie (MFA) is een beveiligingsprotocol dat extra vormen van authenticatie vereist. Om toegang te krijgen tot een account, moeten gebruikers hun inloggegevens en minstens één extra vorm van verificatie verstrekken, zoals een tijdgebaseerd eenmalig wachtwoord (TOTP). MFA voegt een extra beveiligingslaag toe en zorgt ervoor dat alleen geautoriseerde gebruikers toegang hebben tot uw account. Zelfs als uw inloggegevens zijn gecompromitteerd, hebben cybercriminelen geen toegang tot uw account, omdat uw accounts worden beschermd door MFA en het niet mogelijk is voor cybercriminelen om andere authenticatiefactor(en) te geven.
Bewaar uw wachtwoorden in een wachtwoordmanager
Een wachtwoordmanager is een tool die uw wachtwoorden veilig in een versleutelde digitale kluis opslaat en beheert. Met een wachtwoordmanager kunt u al uw wachtwoorden bijhouden en op elk moment toegang krijgen. Uw digitale kluis wordt beschermd door meerdere versleutelingslagen en is alleen toegankelijk met een sterk masterwachtwoord. Een wachtwoordmanager zorgt er ook voor dat al uw wachtwoorden worden beveiligd door zwakke of hergebruikte wachtwoorden te identificeren en u te vragen om ze te versterken met de ingebouwde wachtwoordgenerator.
Cybercriminelen kunnen inloggegevens vinden op het dark web en ze gebruiken voor wachtwoordspraying of credential stuffing-aanvallen. Om wachtwoordspraying en credential stuffing te voorkomen, moet u investeren in een tool voor dark web-monitoring.
Dark web-monitoring is een tool die het dark web scant en controleert op specifieke persoonlijke gegevens zoals uw inloggegevens. Wanneer een tool voor dark web-monitoring gecompromitteerde gegevens vindt, wordt u gewaarschuwd en wordt u gevraagd om actie te ondernemen, zoals het wijzigen van uw wachtwoorden voordat cybercriminelen deze kunnen gebruiken om onbevoegde toegang te krijgen.
Schakel meldingen in voor inlogpogingen
Om te detecteren of een onbevoegde gebruiker toegang probeert te krijgen tot uw account, moet u meldingen inschakelen voor inlogpogingen op uw accounts. Deze meldingen waarschuwen u wanneer iemand heeft geprobeerd in te loggen op uw account of een onbekende gebruiker onlangs is ingelogd op uw account. Zo wordt u gewaarschuwd dat een cybercrimineel u aanvalt met een soort brute force-aanval en kunt u direct actie ondernemen.
Blijf op de hoogte van cyberbedreigingen
Cybercriminelen gebruiken verschillende cyberaanvallen om uw inloggegevens te stelen die ze kunnen gebruiken voor wachtwoordspraying en credential stuffing. U moet op de hoogte blijven van de verschillende soorten cyberaanvallen die cybercriminelen gebruiken om ze te herkennen en te voorkomen.
Cybercriminelen gebruiken vaak phishing om gebruikers te misleiden om hun inloggegevens te onthullen. Ze sturen e-mails of sms-berichten met een kwaadaardige bijlage of link die zich voordoet als een vertrouwde bron, zoals een legitiem bedrijf. Wanneer een gebruiker op de link klikt, wordt er malware op hun apparaat geïnstalleerd of worden ze naar een gespoofte website geleid. De gespoofte website vraagt de gebruiker om hun inloggegevens op te geven.
Bescherm uw wachtwoorden met Keeper®
Wachtwoordspraying en credential stuffing kunnen schadelijke gevolgen hebben voor gebruikers die zwakke of hergebruikte wachtwoorden gebruiken. Ze kunnen echter gemakkelijk worden vermeden als een gebruiker hun online accounts beschermt met sterke en unieke wachtwoorden en MFA inschakelt. De doorsnee gebruiker heeft ongeveer 20 wachtwoorden om te onthouden. Het is extreem moeilijk om zelf een sterk en uniek wachtwoord voor elk account te beheren. Om uw accounts zo goed mogelijk te beschermen, kunt u het beste een wachtwoordmanager gebruiken.
Keeper Password Manager is zero trust en zero knowledge, waardoor u de enige bent die toegang heeft tot uw persoonlijke gegevens. Met Keeper kunt u uw wachtwoorden eenvoudig beheren op elk apparaat en het inloggen met KeeperFill vereenvoudigen.