Credential Stuffing

Glossar

Unter Credential Stuffing versteht man die automatisierte Verwendung von aufgedeckten Kombinationen aus Nutzername und Passwort, um illegal Zugang zu Benutzerkonten zu erhalten und diese gegebenenfalls komplett zu übernehmen.

Was bedeutet der Begriff Credential Stuffing im Detail?

Der englische Begriff „credential stuffing“ setzt sich zusammen aus „Credentials“, übersetzt Anmeldedaten und “stuffing“, übersetzt füllen, stopfen. Bei diesem Vorgehen wird die Anmelde-Maske einer Website, z. B. eines Online-Shops, automatisch ausgefüllt. Dabei werden lange Listen mit bekannt gewordenen Anmeldedaten abgearbeitet. Das Kalkül dahinter: Einige dieser Anmeldedaten werden noch gültig sein und können dann missbraucht werden, z. B. zum Einkauf in diesem Online-Shop. Diese Listen mit Anmeldedaten stammen aus Vorfällen, bei denen kriminelle Hacker Anmeldedaten erbeuten konnten. Zum Beispiel wenn sie einen E-Mail-Anbieter, einen Online-Shop oder ein Kreditkartenunternehmen gehackt haben und Zugang zu den dort gespeicherten Anmeldedaten erhielten. Diese Listen werden verkauft oder kursieren sogar kostenlos im Internet. Das Credential Stuffing ist immer wieder erfolgreich, da viele Nutzer ihre Passwörter mehrfach verwenden und selten ändern. Dadurch bleiben auch ältere Listen mit Anmeldedaten für Cyberkrimenelle interessant. Das Eingeben der Anmeldedaten erledigen die Hacker nicht händisch, sondern automatisch, über sogenannte Bots. Dadurch können sie nahezu beliebig viele Daten auf ihre Gültigkeit testen. Das Ergebnis: Der IT-Sicherheitsfirma Shape Security zufolge machen Credential Stuffing Versuche im Durchschnitt 80 – 90 % des Login-Traffics eines beliebigen Online-Shops aus.

Wo begegnet mir das Thema Credential Stuffing im Arbeitsalltag?

Im Arbeitsalltag begegnet Ihnen das Thema Credential Stuffing zumeist indirekt. Beispielsweise wenn Sie sich auf einer Website in Ihrem Benutzerkonto anmelden und zusätzlich zu Ihren Anmeldedaten noch Zahlen und Buchstaben aus einem verzerrten Bild eingeben sollen. An diesem sogenannten Captcha-Code scheitern Bots und damit Credential Stuffing Versuche.

Was kann ich tun, um meine Sicherheit zu verbessern?

Im Rahmen der Perseus IT-Sicherheitsprüfung erfahren Sie, ob Ihre E-Mail-Adresse auf den bekannten Credential Stuffing-Listen erscheint. Ist dies der Fall, sind die folgenden Empfehlungen umso wichtiger für Sie.

Ändern Sie Passwörter, die Sie bereits seit längerer Zeit nutzen

Je häufiger Sie Ihr Passwort wechseln, desto schneller verlieren Ihre Anmeldedaten an Aktualität, falls sie gestohlen werden sollten. Ist dies bereits geschehen, sollten Sie alle Passwörter ändern, die Sie in Kombination mit der jeweiligen E-Mail-Adresse nutzen.

Verwenden Sie möglichst viele unterschiedliche Passwörter

Im Idealfall nutzen Sie kein Passwort zweimal. Bei diesem gedächtnistechnischen Kunststück hilft Ihnen ein Passwort-Manager (siehe nächster Absatz). Ist dies aktuell keine Option für Sie, verwenden Sie möglichst viele unterschiedliche Passwörter. Benutzerkonten, deren kriminelle Ausbeutung besonders großen Schaden bedeuten würde, erhalten unbedingt einzigartige, möglichst komplexe Passwörter.

Gönnen Sie sich einen Passwort-Manager

Ein Passwort-Manager ist ein Programm, welches für jedes Benutzerkonto ein individuelles, komplexes Passwort erzeugt und sich dieses für zukünftige Besuche merkt. Sie brauchen sich nur das Passwort für den Passwort-Manager selbst zu merken. Im Allgemeinen bieten Passwort-Manager ein hohes Maß an Sicherheit. Aber unfehlbar sind sie nicht. Da es sich um Programme handelt, können theoretisch auch sie gehackt werden.

Schützen Sie daher möglichst viele Benutzerkonten durch eine Zwei-Faktor-Authentifizierung.
Eine Zwei-Faktor-Authentifizierung bietet sehr viel Sicherheit. Wir empfehlen: Nutzen Sie diese bei allen Konten, die Ihnen die Möglichkeit geben.

Verwandte Beiträge

  • Darknet

    Dieser anonyme Bereich im Internet ist nicht offen sichtbar und nicht durch eine Suchmaschine zu erreichen. Er ist nur mithilfe eines speziellen Netzwerkes erreichbar, dem sogenannten Tor-Netzwerk.

    mehr lesen

Weitere Beiträge

  • Gefahrenwarnung: Cybersicherheitsvorfall bei T-Mobile US betrifft Millionen Kunden

    Gefahrenwarnung

    Bei einem Angriff auf T-Mobile US wurden Daten von mindestens 40 Millionen Kunden gestohlen. Wir bringen auf den Punkt, was genau passiert ist und was Sie selbst tun können.

    mehr lesen

Sie sind neugierig geworden?

Fragen Sie noch heute eine unverbindliche Produkt-Demo von Perseus an.

Wir befähigen Ihre Mitarbeitenden, aktiv zur Cybersicherheit Ihres Unternehmens beizutragen.

Überzeugen Sie sich selbst, wie einfach und schnell sich Perseus in Ihre Unternehmensstruktur integrieren lässt.

Live Demo

Sie haben Fragen zu unseren Leistungen?

Zögern Sie nicht anzurufen: + 49 30 95 999 8080

  • Plug & Play-Lösung, die einfach und schnell integriert ist
  • Kurze, spannende Online-Trainings für Cybersicherheit und Datenschutz
  • Trainings unterstützen bei der Erfüllung einzelner Compliance-Anforderungen (z. B. zu ISO 27001)
  • Simulierte Phishing-E-Mails testen das Erlernte der Mitarbeitenden in der Praxis
  • Zertifikate dokumentieren Lernerfolge und dienen als Nachweis für Versicherungen oder Behörden
  • Das Cybernotfall-Management ist jederzeit zur Stelle, falls es doch einmal zum Cybervorfall kommt