Beim Credential Stuffing nutzen Cyberkriminelle illegal beschaffte Anmeldedaten, um diese auch bei anderen Diensten auszuprobieren. Viele Nutzende machen es Angreifenden einfach, denn oft werden dieselben Login-Daten f\u00fcr verschiedene Dienste genutzt, sodass die Cyberkriminellen erfolgreich sind. Im heutigen Beitrag zeigen wir die Gefahr von Credential Stuffing auf, erkl\u00e4ren, wie die Credential Stuffing-Angriffe funktionieren, grenzen die Angriffsmethode von Brute-Force-Attacken ab und geben Tipps, wie Sie sich vor Credential Stuffing sch\u00fctzen.<\/p>\n
Soziale Netzwerke wie Facebook, Twitter oder auch Berufsnetzwerke wie XING und LinkedIn haben massive Sicherheitsprobleme: Datenklau ist bei nahezu jedem Netzwerk bereits Thema gewesen. Allein in diesem Jahr 2021 waren bereits eine halbe Milliarde Facebook-Nutzende<\/a>, mehr als eine Million Clubhouse-Daten sowie die LinkedIn-Daten von fast allen Nutzenden<\/a> betroffen, um lediglich eine kleine Auswahl aus den Skandalmeldungen dieses Jahres zu nennen.<\/p>\n Nutzende selbst k\u00f6nnen die meist nicht sehr tiefgreifende Sicherheit sozialer Netzwerke weiter kompromittieren, indem beispielsweise f\u00fcr s\u00e4mtliche Dienste dieselben Login-Daten verwendet werden. Das kann fatale Folgen haben, die bis zum Identit\u00e4tsdiebstahl reichen k\u00f6nnen. Das Problem bei der Sache: Wenn Nutzende dieselben Login-Daten f\u00fcr mehrere Dienste verwenden, reicht es, wenn Cyberkriminelle einmalig an diese Daten gelangen. Sie probieren dann aus, in welche Dienste man sich mit diesen Zug\u00e4ngen noch einloggen kann. Und genau in solchen F\u00e4llen, die jede:n Nutzende:n treffen k\u00f6nnen, spricht man von Credential Stuffing.<\/p>\n Credential Stuffing geh\u00f6rt zu den Angriffsmethoden, die im Internet sehr h\u00e4ufig auftreten. Angreifende nutzen f\u00fcrs Credential Stuffing Anmeldedaten, die entweder geleakt, gestohlen oder sonst wie in ihre H\u00e4nde gelangt sind. Mit diesen Login-Daten probieren die Angreifenden Anmeldungen mit Nutzernamen und Passwort bei anderen Online-Diensten aus. Um dieses Ausprobieren bei anderen Diensten zu erleichtern, werden daf\u00fcr in aller Regel gerne Bot-Netzwerke eingesetzt. Rotierende Proxys k\u00f6nnen Hunderttausende Login-Informationen \u00fcber verschiedene Online-Dienste hinweg ansteuern. Das Credential Stuffing kann also nur bei Nutzenden Erfolg haben, die dieselben Login-Daten (Credentials) f\u00fcr verschiedene Dienste verwenden.<\/p>\n Wichtig zu verstehen ist der Unterschied zu Brute-Force-Attacken: F\u00fcr Brute-Force-Angriffe werden unz\u00e4hlige Kombinationen m\u00f6glicher Login-Daten computergest\u00fctzt \u201eerraten\u201c. Es werden so lange Login-Daten eingegeben, bis irgendwann zuf\u00e4llig eine Kombination passt. Die Erfolgsaussichten von Brute-Force-Attacken verringern sich mit starken Passw\u00f6rtern; beim Credential Stuffing ist die St\u00e4rke eines Passworts nicht ma\u00dfgeblich.<\/p>\n <\/p>\n Mit einigen Tipps k\u00f6nnen Sie sich gut gegen Credential Stuffing sch\u00fctzen:<\/p>\nSo funktioniert Credential Stuffing<\/h3>\n
Credential Stuffing ist kein Brute-Force-Angriff<\/h3>\n
Credential Stuffing: Sch\u00fctzen Sie sich und Ihre Accounts!<\/h2>\n
\n