Was ist Credential Stuffing?
Bei einem Credential-Stuffing-Angriff versucht ein Cyberkrimineller mithilfe einer Reihe gestohlener Zugangsdaten, Zugriff auf mehrere Konten gleichzeitig zu erhalten. Credential Stuffing ist effektiv, weil fast zwei Drittel der Internetnutzer ihre Passwörter wiederverwenden. Cyberkriminelle geben die gestohlenen Zugangsdaten innerhalb weniger Minuten oder Stunden in Tausende von Websites ein und das stellt eine große Gefahr dar für alles von Social-Media-Konten bis hin zu proprietärer Unternehmenssoftware.
Credential stuffing vs. password spraying
Password Spraying nimmt verifizierte Benutzernamen und gibt sie mit vielen gängigen Passwörtern in Anmeldeformulare ein. Durch schlechtes Passwortnutzungsverhalten, d. h. wenn Passwörter mit häufig verwendeten Passwörtern erraten werden können, gefährden Benutzer all ihre Konten.
Ein Credential-Stuffing-Angriff funktioniert nur, wenn Benutzer dieselben Passwörter für mehrere Konten verwenden. Da relativ viele Menschen diese Vorgehensweise nutzen, reicht bereits ein einziger Satz an Zugangsdaten aus, um die meisten oder alle Konten einer Person zu hacken. Cyberkriminelle nutzen Tools wie BotNets, um über mehrere Geräte anzugreifen und ihre Angriffsmöglichkeiten mit nur einem Satz an Zugangsdaten zu vergrößern.
Wenn einem Angreifer ein Credential-Stuffing-Angriff gelingt, kann er möglicherweise die Kontrolle über Ihre Bankdaten, Social-Media-Konten und mehr erlangen. Dies kann zu regelrechtem Diebstahl von Geld oder anderen Vermögenswerten, Erpressung oder Identitätsdiebstahl führen.
So erkennen sie einen credential-stuffing-angriff
Wenn Sie einen Credential-Stuffing-Angriff frühzeitig erkennen, haben Sie mehr Zeit, um zu reagieren und Ihre Konten zu schützen.
Für die persönliche Nutzung
Ein Credential-Stuffing-Angriff kann ganz einfach über eine Multi-Faktor-Authentifizierung (MFA) für Ihre Konten erkannt werden. MFA ist eine zusätzliche Sicherheitsmaßnahme, die Sie für die meisten Ihrer Online-Konten aktivieren können. Anstatt sich nur mit einem Benutzernamen und einem Passwort bei einem Konto anzumelden, müssten Sie dann einen oder mehrere zusätzliche Authentifizierungsfaktoren angeben.
Wenn eine unbefugte Person versucht, sich bei einem Konto von Ihnen anzumelden, für das MFA aktiviert ist, und Sie E-Mail- oder SMS-Codes erhalten, dienen diese Codes im Wesentlichen als Warnsignal, dass Ihre Konten möglicherweise angegriffen werden.
Für Unternehmensnutzer
Detektoren für Daten-Bots
Diese Tools helfen, Anomalien im eingehenden Webverkehr zu erkennen und Sie über eingehende Bots zu benachrichtigen. Credential Stuffing basiert auf autonomen Bots, die Zugangsdaten schnell ausfüllen können. Daher hilft es, wenn Sie autonome Bots erkennen und frühzeitig Maßnahmen ergreifen können.
Fingerabdruck-Sperren für Geräte und Browser
Biometrische Zugangsdaten sind sichere und eindeutige Zugangsdaten. Ein Passwort in Kombination mit biometrischen Zugangsdaten zu verwenden, kann ein Konto deutlich sicherer machen.
So verhindern sie credential stuffing
Credential stuffing als benutzer verhindern
Um zu verhindern, dass Ihnen ein Credential-Stuffing-Angriff widerfährt, sichern Sie zunächst Ihre Online-Konten mit starken und einzigartigen Passwörtern. Ihre Passwörter sollten mindestens 16 Zeichen lang sein und aus einer Kombination von Groß- und Kleinbuchstaben sowie einer Mischung aus Symbolen und Zahlen bestehen. Um Ihnen die Erstellung sicherer Passwörter zu erleichtern, können Sie einen Passwortgenerator hinzuziehen. Ein Passwortgenerator ist ein kostenloses Online-Tool, das nach dem Zufallsprinzip eine Zeichenfolge generiert, die Sie als Passwort verwenden können.
Generierte Passwörter lassen sich nicht gerade leicht merken. Daher ist es am besten, sie in einem Passwortmanager zu speichern. Ein Passwortmanager hilft Ihnen bei der Speicherung und Verwaltung all Ihrer Passwörter. Sie müssen sich nur ein einziges starkes Masterpasswort merken, um auf Ihre anderen Zugangsdaten zuzugreifen.
Aktivieren Sie als zusätzlichen Sicherheitsschritt möglichst immer die Multi-Faktor-Authentifizierung. MFA schützt Ihre Online-Konten vor unbefugtem Zugriff. Mithilfe von MFA verringert sich das Risiko, Opfer eines Credential-Stuffing-Angriffs zu werden. Denn selbst wenn ein Angreifer Ihren Benutzernamen und Ihr Passwort in die Hände bekommt, wäre er ohne die zusätzliche Authentifizierungsmethode, die nur Ihnen zur Verfügung steht, nicht in der Lage, auf Ihr Konto zuzugreifen.
Credential stuffing als unternehmen verhindern
Um Credential Stuffing in Ihrem Unternehmen zu verhindern, beginnen Sie zunächst damit, die Konten Ihrer Mitarbeiter mit sicheren Passwörtern zu schützen und eine MFA-Methode durchzusetzen. Damit Ihre Mitarbeiter die besten Vorgehensweisen bei Passwörtern befolgen, empfiehlt sich ein Passwortmanager für Unternehmen.
Passwortmanager für Unternehmen bieten IT-Administratoren einen umfassenden Einblick in die Passwortpraktiken der Mitarbeiter. Passwortmanager helfen IT-Administratoren auch bei der Durchsetzung von Passwortregeln, z. B. der Mindestpasswortlänge und einer MFA-Methode. Mithilfe einer zentralisierten Passwortverwaltung können Unternehmen Credential-Stuffing-Angriffe abwenden und Mitarbeiterkonten vor Hackern schützen.
Vorsicht vor credential stuffing
Credential-Stuffing-Angriffe können persönliche und geschäftliche Daten ernsthaft gefährden, was zu Identitätsdiebstahl und finanziellen Verlusten führen kann. Um zu verhindern, dass Sie oder Ihr Unternehmen Opfer von Credential-Stuffing-Angriffen werden, sollten Sie wissen, was diese Bedrohung mit sich bringt und was Sie tun können, um Ihre Online-Konten zu schützen.
