IT-Security

Credential Stuffing: Cyberangriffe durch unsichere Logins

31. August 2021 von Bianca Wellbrock

credential-stuffing-angriffe
© REDPIXEL - stock.adobe.com

5
(6)

Beim Credential Stuffing nutzen Cyberkriminelle illegal beschaffte Anmeldedaten, um diese auch bei anderen Diensten auszuprobieren. Viele Nutzende machen es Angreifenden einfach, denn oft werden dieselben Login-Daten für verschiedene Dienste genutzt, sodass die Cyberkriminellen erfolgreich sind. Im heutigen Beitrag zeigen wir die Gefahr von Credential Stuffing auf, erklären wie die Credential Stuffing-Angriffe funktionieren, grenzen die Angriffsmethode von Brute Force-Attacken ab und geben Tipps, wie Sie sich vor Credential Stuffing schützen.

Social Media: Brutstätte für Credential Stuffing-Angriffe

Soziale Netzwerke wie Facebook, Twitter oder auch Berufsnetzwerke wie XING und LinkedIn haben massive Sicherheitsprobleme: Datenklau ist bei nahezu jedem Netzwerk bereits Thema gewesen. Allein in diesem Jahr waren bereits eine halbe Milliarde Facebook-Nutzende, mehr als eine Million Clubhouse-Daten sowie die LinkedIn-Daten von fast allen Nutzenden betroffen, um lediglich eine kleine Auswahl aus den Skandalmeldungen dieses Jahres zu nennen.

Nutzende selbst können die meist nicht sehr tiefgreifende Sicherheit sozialer Netzwerke weiter kompromittieren, indem beispielsweise für sämtliche Dienste dieselben Login-Daten verwendet werden. Das kann fatale Folgen haben, die bis zum Identitätsdiebstahl reichen können. Das Problem bei der Sache: Wenn Nutzende dieselben Login-Daten für mehrere Dienste verwenden, reicht es, wenn Cyberkriminelle einmalig an diese Daten gelangen. Sie probieren dann aus, in welche Dienste man sich mit diesen Zugängen noch einloggen kann. Und genau in solchen Fällen, die jede:n Nutzende:n treffen können, spricht man von Credential Stuffing.

So funktioniert Credential Stuffing

Credential Stuffing gehört zu den Angriffsmethoden, die im Internet sehr häufig auftreten. Angreifende nutzen fürs Credential Stuffing Anmeldedaten, die entweder geleakt, gestohlen oder sonst wie in ihre Hände gelangt sind. Mit diesen Login-Daten probieren die Angreifenden Anmeldungen mit Nutzernamen und Passwort bei anderen Online-Diensten aus. Um dieses Ausprobieren bei anderen Diensten zu erleichtern, werden dafür in aller Regel gerne Bot-Netzwerke eingesetzt. Rotierende Proxys können hunderttausende Login-Informationen über verschiedene Online-Dienste hinweg ansteuern. Das Credential Stuffing kann also nur bei Nutzenden Erfolg haben, die dieselben Login-Daten (Credentials) für verschiedene Dienste verwenden.

Credential Stuffing ist kein Brute Force-Angriff

Wichtig zu verstehen ist der Unterschied zu Brute Force-Attacken: Für Brute Force-Angriffe werden unzählige Kombinationen möglicher Login-Daten computergestützt „erraten“. Es werden solange Login-Daten eingegeben, bis irgendwann zufällig eine Kombination passt. Die Erfolgsaussichten von Brute Force-Attacken verringern sich mit starken Passwörtern; beim Credential Stuffing ist die Stärke eines Passworts nicht maßgeblich.

Credential Stuffing: Schützen Sie sich und Ihre Accounts!

Mit einigen Tipps können Sie sich gut gegen Credential Stuffing schützen:

  • Einmalige Login-Daten: Verwenden Sie für jeden Dienst unterschiedliche Login-Daten. Verwenden Sie nie für verschiedene Dienste dasselbe Passwort. Ein sicherer Passwort-Manager kann Ihnen dabei helfen, den Überblick über Ihre vielen Passwörter zu behalten.
  • Multi-Faktor-Authentifizierung: Wann immer es möglich ist, setzen Sie auf verschiedene Faktoren zur Authentifizierung. Immer mehr Dienste bieten mit der Zwei-Faktor-Authentifizierung (2FA) mindestens zwei Faktoren, über die Sie sich anmelden.
  • Passwort-Check: Machen Sie es sich zur Routine, Ihre Passwörter regelmäßig auf Diebstahl oder Kompromittierung zu checken. Entweder ist diese Funktion in Ihrem Passwortmanager enthalten oder Sie nutzen für den Check sichere Online-Dienste wie haveibeenpwned.com für E-Mail und Rufnummer oder haveibeenpwned.com/passwords für Passwörter.
  • Monitoring: In Unternehmen empfiehlt sich der Einsatz von Monitoring-Systemen, die unautorisierte Anmeldeversuche von Botnetzen erkennen können und diese abwehren.
  • Biometrie: Als zweiten Faktor oder auch für den gängigen Login setzen immer mehr Dienste auf biometrische Daten. Der Fingerabdruck- oder Augen-Scan existiert bei Notebooks, Smartphones, Tablets und Rechnern. Da biometrische Daten einmalig sind, sind Fälschungen schwer bis unmöglich. Achten Sie jedoch darauf, sich einen sicheren Anbieter zum Speichern Ihrer biometrischen Daten zu suchen.
  • Authenticator: Immer größerer Beliebtheit erfreuen sich auch TOTP-based Authenticator zur zusätzlichen Authentifizierung. Der Time-based One-time Passwort (TOTP)-Algorithmus ist das Verfahren, mit dem Session-Kennwörter erstellt werden. Entsprechende Anwendungen sind auch für Mobilgeräte verfügbar, sodass Sie diese Login-Methode überall nutzen können. Ihrem gängigen Passwort wird dabei der einmalige Code, also das Session-Kennwort, angehängt.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 6



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu