Credential Stuffing

Unter Credential Stuffing versteht man die automatisierte Verwendung von aufgedeckten Kombinationen aus Nutzername und Passwort, um illegal Zugang zu Benutzerkonten zu erhalten und diese gegebenenfalls komplett zu übernehmen.

Was bedeutet der Begriff Credential Stuffing im Detail?

Der englische Begriff „credential stuffing“ setzt sich zusammen aus „Credentials“, übersetzt Anmeldedaten und “stuffing“, übersetzt füllen, stopfen. Bei diesem Vorgehen wird die Anmelde-Maske einer Website, z. B. eines Online-Shops, automatisch ausgefüllt. Dabei werden lange Listen mit bekannt gewordenen Anmeldedaten abgearbeitet. Das Kalkül dahinter: Einige dieser Anmeldedaten werden noch gültig sein und können dann missbraucht werden, z. B. zum Einkauf in diesem Online-Shop. Diese Listen mit Anmeldedaten stammen aus Vorfällen, bei denen Hacker Anmeldedaten erbeuten konnten. Zum Beispiel wenn sie einen E-Mail-Anbieter, einen Online-Shop oder ein Kreditkartenunternehmen gehackt haben und Zugang zu den dort gespeicherten Anmeldedaten erhielten. Diese Listen werden verkauft oder kursieren sogar kostenlos im Internet. Das Credential Stuffing ist immer wieder erfolgreich, da viele Nutzer ihre Passwörter mehrfach verwenden und selten ändern. Dadurch bleiben auch ältere Listen mit Anmeldedaten für Cyberkrimenelle interessant. Das Eingeben der Anmeldedaten erledigen die Hacker nicht händisch, sondern automatisch, über sogenannte Bots. Dadurch können sie nahezu beliebig viele Daten auf ihre Gültigkeit testen. Das Ergebnis: Der IT-Sicherheitsfirma Shape Security zufolge machen Credential Stuffing Versuche im Durchschnitt 80 – 90 % des Login-Traffics eines beliebigen Online-Shops aus.

Wo begegnet mir das Thema Credential Stuffing im Arbeitsalltag?

Im Arbeitsalltag begegnet Ihnen das Thema Credential Stuffing zumeist indirekt. Beispielsweise wenn Sie sich auf einer Website in Ihrem Benutzerkonto anmelden und zusätzlich zu Ihren Anmeldedaten noch Zahlen und Buchstaben aus einem verzerrten Bild eingeben sollen. An diesem sogenannten Captcha-Code scheitern Bots und damit Credential Stuffing Versuche.

Was kann ich tun, um meine Sicherheit zu verbessern?

Im Rahmen der Perseus IT-Sicherheitsprüfung erfahren Sie, ob Ihre E-Mail-Adresse auf den bekannten Credential Stuffing-Listen erscheint. Ist dies der Fall, sind die folgenden Empfehlungen umso wichtiger für Sie.

Ändern Sie Passwörter, die Sie bereits seit längerer Zeit nutzen

Je häufiger Sie Ihr Passwort wechseln, desto schneller verlieren Ihre Anmeldedaten an Aktualität, falls sie gestohlen werden sollten. Ist dies bereits geschehen, sollten Sie alle Passwörter ändern, die Sie in Kombination mit der jeweiligen E-Mail-Adresse nutzen.

Verwenden Sie möglichst viele unterschiedliche Passwörter

Im Idealfall nutzen Sie kein Passwort zweimal. Bei diesem gedächtnistechnischen Kunststück hilft Ihnen ein Passwortmanager (siehe nächster Absatz). Ist dies aktuell keine Option für Sie, verwenden Sie möglichst viele unterschiedliche Passwörter.  Benutzerkonten, deren kriminelle Ausbeutung besonders großen Schaden bedeuten würde, erhalten unbedingt einzigartige, möglichst komplexe Passwörter.

Gönnen Sie sich einen Passwort-Manager

Ein Passwort-Manager ist ein Programm, welches für jedes Benutzerkonto ein individuelles, komplexes Passwort erzeugt und sich dieses für zukünftige Besuche merkt. Sie brauchen sich nur das Passwort für den Passwort-Manager selbst zu merken. Im Allgemeinen bieten Passwort-Manager ein hohes Maß an Sicherheit. Aber unfehlbar sind sie nicht. Da es sich um Programme handelt, können theoretisch auch sie gehackt werden.

Schützen Sie daher möglichst viele Benutzerkonten durch eine Zwei-Faktor-Authentifizierung.

Eine Zwei-Faktor-Authentifizierung bietet sehr viel Sicherheit. Wir empfehlen: Nutzen Sie diese bei allen Konten, die Ihnen die Möglichkeit geben.
 

 

Teilen:

Sie haben Fragen?
Wir sind für Sie da.

Vereinbaren Sie einen kostenlosen Beratungstermin mit unseren IT-Sicherheits-Experten. Wir freuen uns auf Sie.

030/95 999 80 80 (Mo - Fr 09:00-18:00)