Du hast dir ein sicheres Passwort ausgedacht. Es stimmt einfach alles: Zahlen, Großbuchstaben in der Mitte, ein paar gut platzierte ^ und $s, und es endet noch dazu mit einem umgedrehten Fragezeichen. Perfekt. Jetzt kannst du dieses Passwort bei allen deiner Konten verwenden.
Inhalt:
Und so kriegen sie dich. Heute geht es um Credential Stuffing.
Was versteht man unter Credential Stuffing und wie funktioniert es?
Credential Stuffing ist eine Art von Cyberangriff, bei dem Cyberkriminelle versuchen, mit gestohlenen Anmeldeinformationen unbefugten Zugriff auf ein Benutzerkonto oder auf Unternehmenssysteme zu erhalten. In der Regel werden die bei solchen Angriffen verwendeten Benutzernamen und Passwörter durch Datenlecks illegal erworben.
Wie der Name andeutet, besteht das Ziel dieses Angriffstyps darin, so viele Anmeldeinformationen wie möglich in mehrere Websites oder Unternehmenssysteme zu „stopfen“, in der Hoffnung, Zugang darauf zu erhalten. Credential Stuffing beruht auf Automatisierung und der Annahme, dass viele Menschen bei mehreren Online-Diensten und -Plattformen die gleichen Anmeldedaten verwenden.
Warum ist Credential Stuffing auf dem Vormarsch?
Credential-Stuffing-Angriffe treten ziemlich häufig auf, vor allem wegen des enormen Angebots und der Nachfrage nach offengelegten Anmeldedaten.
Jeder kann im Internet riesige Archive mit Passwörtern kaufen, die öffentlich bekannt geworden sind. Und noch schlimmer: Jeder kann sie sich kostenlos über P2P-Netzwerke herunterladen.
Diese gigantischen Archive sind das Ergebnis mehrerer Datenpannen. In der berüchtigten Collection #1-5 werden beispielsweise 2,2 Milliarden eindeutige Kombinationen aus einem Benutzernamen und dem dazugehörenden Passwort angeboten. Jeder, der über eine Internetverbindung verfügt, kann sie als Klartext im Web finden.
Sobald sich der angehende Angreifer eine Fülle von Anmeldeinformationen verschafft hat, kann er damit beginnen, sie in die entsprechenden Anmelderegister zu „stopfen“ (englisch: „to stuff“). Normalerweise muss ein Angreifer zahlreiche Anmeldeanfragen senden, um in ein Konto einbrechen zu können. Hierbei sind Credential Stuffing Tools (die man leicht im Internet findet) von großem Nutzen.
Da es keine Option ist, Millionen von Passwörtern von Hand in Millionen von Feldern einzutragen, automatisieren die Angreifer solche Attacken. Sie leiten diese Anfragen dabei auch über Proxyserver, um zu verbergen, dass sie von derselben IP-Adresse ausgehen. Credential-Stuffing-Tools verbergen auch den Browser des Angreifers und können CAPTCHAs umgehen.
Laut dem Data Breach Investigations Report 2022 von Verizon sind Credential-Stuffing-Angriffe eine häufige Ursache für Datenlecks , da viele Menschen die gleichen Passwörter für mehrere Konten verwenden.
Credential Stuffing im Vergleich zu Brute-Force-Angriffen
Credential Stuffing und Brute-Force-Angriffe funktionieren auf ähnliche Weise. Cyberkriminelle nutzen beide Angriffstypen für den gleichen Zweck: um unbefugten Zugang zu einem Online-Konto oder einem Unternehmenssystem zu erhalten. Sie unterscheiden sich jedoch in ihrer Herangehensweise. Bei einem Brute-Force-Angriff verwenden Hacker automatisierte Prozesse, um den Benutzernamen und das Passwort des potenziellen Opfers blind zu erraten. Im Gegensatz dazu verwenden Cyberkriminelle bei einem Credential-Stuffing-Angriff offengelegte Anmeldeinformationen, was ihre Erfolgschancen erhöht.
So vermeidest du Credential-Stuffing-Angriffe
Wie bei jeder anderen Art von Cyberangriff auch, ist die Vermeidung von Credential-Stuffing-Angriffen eine komplexe Aufgabe, die verschiedene Cybersicherheitsverfahren umfasst. Sobald du jedoch weißt, welche Schritte du unternehmen solltest, kannst du die Gefahr, einem Credential-Stuffing-Angriff zum Opfer zu fallen, drastisch verringern.
Verwende deine Passwörter nicht mehrfach
Dein Passwort mag zwar so gut wie nicht zu erraten sein, aber das spielt keine Rolle, wenn eine Website, die du besucht hast, gehackt wird und dein ultra-sicheres Passwort daraufhin im Web landet. Und sobald deine Anmeldeinformationen nach außen gelangt sind, können Hacker sie verwenden, um damit auf deine anderen Konten zuzugreifen. Darin liegt der Kern von Credential Stuffing. Wenn du deine Passwörter wiederverwendest, können Hacker sie ebenfalls wiederverwenden. Die Erstellung eines individuellen Passworts für jedes Konto wird mit einem Passwort-Generator einfacher – einem Tool, das automatisch starke und einzigartige Passwörter erstellt.
Nutzen Sie Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung wird häufig als zusätzliche Sicherheitsebene bezeichnet, da dies einen zusätzlichen Schritt zur Identitätsprüfung darstellt, wenn du versuchst, auf eines deiner Online-Konten zuzugreifen. In den meisten Fällen besteht der zusätzliche Schritt zur Identitätsprüfung aus einem 4- bis 8-stelligen Code, den du im Anschluss an deine Anmeldeinformationen eingeben musst. In der Regel wird der Code per E-Mail, SMS oder in einer Authentifizierungs-App an dich gesendet. Die Verwendung von MFA als zusätzliche Sicherheitsebene bedeutet, dass Hacker nicht auf dein Konto zugreifen können, selbst wenn deine Passwörter und Benutzernamen bei einem Datenleck offengelegt werden, da bei der Anmeldung auch der Zugriff auf deinen MFA-Code erforderlich ist.
Kannst du einen Passwort-Manager verwenden
Heutzutage sollte die Nutzung eines Passwort-Managers selbstverständlich sein. Ein Passwort-Manager ist ein Tool, mit dem du deine Passwörter, Kreditkartendaten und anderen persönlichen Informationen sicher speichern und darauf zugreifen kannst, wenn du sie benötigst. Mit einem Tool wie NordPass ist es einfacher als je zuvor, starke und einzigartige Passwörter für alle deine Online-Konten zu erstellen. Darüber hinaus eliminiert ein Passwort-Manager die manuelle Eingabe von Passwörtern und Benutzernamen, weil die Funktion zum automatischen Ausfüllen dies für dich erledigt und du dich nicht mit der Eingabe einer Zeichenfolge aus 12 zufälligen Zeichen herumplagen musst.
Überprüfe regelmäßig, ob deine Anmeldeinformationen geleakt wurden
Sie sollten unbedingt im Bilde sein, wenn Ihre Benutzernamen und Passwörter bei einer Datenpanne kompromittiert werden. Dies erlaubt Ihnen, einen Credential-Stuffing-Angriff vorzubeugen und ein sicheres Online-Profil zu wahren. Es gibt verschiedene Online-Tools, die Sie darüber aufklären, wenn Ihre sensiblen Daten von einem Datenleck betroffen sind. Eines dieser Tools ist unser Datenleck-Scanner. Er überprüft das Internet auf offengelegte Datenbanken und gleicht diese mit den angegebenen E-Mail-Adressen und Kreditkartendaten ab.
Fazit
Du kannst im Internet niemals vollständig sicher sein, weil du nicht alles wissen oder kontrollieren kannst. Sind die von dir verwendeten Apps, Websites oder Online-Dienste sicher? Manchmal. Und manchmal eben nicht. Manchmal scheinen sie sicher zu sein, bis sich das Gegenteil herausstellt. Deshalb musst du wirklich jede Sicherheitsmaßnahme nutzen, die dir zur Verfügung steht.