Was ist Credential Stuffing? | Credential Stuffing vs. Brute-Force-Angriffe

Bei einem Credential Stuffing-Angriff werden gestohlene Anmeldeinformationen aus einem Dienst verwendet, um zu versuchen, in Konten für verschiedene andere Dienste zu gelangen.

Share facebook icon linkedin icon twitter icon email icon

Credential Stuffing

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definition von Credential Stuffing
  • Unterscheidung zwischen Credential Stuffing und Brute-Force-Angriffen
  • Verstehen von Strategien zur Minderung von Credential Stuffing

Was ist Credential Stuffing?

Credential Stuffing ist ein Cyberangriff, bei dem Anmeldedaten, die bei einer Datenschutzverletzung bei einem Dienst erbeutet wurden, verwendet werden, um sich bei einem anderen, nicht verwandten Dienst anzumelden.

Beispiel für Credential Stuffing

Ein Angreifer kann z. B. eine Liste von Benutzernamen und Passwörtern aus einer Datenschutzverletzung eines großen Kaufhauses benutzen, um zu versuchen, sich auf der Website einer landesweiten Bank mit denselben Anmeldeinformationen anzumelden. Der Angreifer spekuliert darauf, dass ein Teil der Kaufhauskunden auch ein Konto bei dieser Bank hat und sie dieselben Benutzernamen und Passwörter für beide Dienste verwenden.

Im Jahr 2019 trat Credential Stuffing immer häufiger auf, da ellenlange Listen mit erbeuteten Anmeldedaten auf dem Schwarzmarkt verkauft werden. Die Verbreitung dieser Listen und die immer fortschrittlicher werdenden Tools für Credential Stuffing mit Bots zur Vermeidung herkömmlicher Login-Schutzfunktionen haben Credential Stuffing zu einem beliebten Angriffsvektor gemacht.

Was macht Credential Stuffing-Angriffe so wirksam?

Aus statistischer Sicht haben Credential Stuffing-Angriffe eine sehr geringe Erfolgsrate. Nach vielen Schätzungen liegt diese Rate bei etwa 0,1 % Dies bedeutet, dass ein Angreifer tausend Konten knacken muss, um ungefähr einmal erfolgreich zu sein. Aufgrund des enormen Volumens der von Angreifern gehandelten Sammlungen von Anmeldeinformationen lohnt sich Credential Stuffing trotz der geringen Erfolgsquote.

Diese Sammlungen enthalten Millionen und in einigen Fällen Milliarden von Anmeldeinformationen. Wenn ein Angreifer über eine Million Anmeldeinformationen verfügt, kann das ca. 1.000 erfolgreich geknackte Konten zur Folge haben. Wenn auch nur ein kleiner Anteil der geknackten Konten profitable Daten liefert (oft in Form von Kreditkartennummern oder sensiblen Daten, die bei Phishing-Angriffen verwendet werden können), lohnt sich der Angriff schon. Zudem kann der Angreifer den gleichen Vorgang mit den gleichen Anmeldeinformationen für zahlreiche verschiedene Dienste wiederholen.

Auch aufgrund der Fortschritte in der Bot-Technologie ist Credential Stuffing zu einer sinnvollen Angriffsmethode geworden. Die in Anmeldeformularen von Webanwendungen integrierten Sicherheitsmerkmale umfassen oft absichtliche Zeitverzögerungen und das Sperren der IP-Adressen von Nutzern, die wiederholt fehlgeschlagene Anmeldeversuche vorweisen. Moderne Credential Stuffing-Softwares umgehen diese Sicherheitsmaßnahmen, indem sie Bots verwenden, die gleichzeitig mehrere Anmeldeversuche durchführen, die von verschiedenen Gerätetypen zu kommen scheinen und von verschiedenen IP-Adressen stammen. Das Ziel von böswilligen Bots ist es, dass die Anmeldeversuche des Angreifers nicht vom typischen Anmelde-Traffic zu unterscheiden sind. Das ist sehr wirksam.

Oftmals ist der einzige Hinweis auf einen Angriff, den das geschädigte Unternehmen hat, die Zunahme des Gesamtvolumens der Anmeldeversuche. Selbst dann wird es für das geschädigte Unternehmen schwierig sein, diese Angriffe zu stoppen, ohne den Anmeldevorgang seriöser Benutzer zu beeinträchtigen.

Der Hauptgrund für die Wirksamkeit von Credential-Stuffing-Angriffen ist, dass Menschen Passwörter immer wieder verwenden. Studien zufolge verwendet eine Mehrheit der Benutzer, schätzungsweise bis zu 85 %, dieselben Anmeldeinformationen für mehrere Dienste. Solange diese Praxis fortbesteht, bleibt Credential Stuffing erfolgreich.

Was ist der Unterschied zwischen Credential Stuffing und Brute-Force-Angriffen?

OWASP kategorisiert Credential Stuffing als eine Untergruppe von Brute-Force-Angriffen. Aber streng genommen unterscheidet sich Credential Stuffing deutlich von traditionellen Brute-Force-Angriffen. Brute-Force-Angriffe versuchen, Passwörter ohne Zusammenhang oder Hinweise zu erraten, indem zufällige Zeichen, manchmal kombiniert mit üblichen Passwortvorschlägen, verwendet werden. Credential Stuffing nutzt ungeschützte Daten, wodurch die Anzahl der möglichen richtigen Antworten erheblich reduziert wird.

Ein guter Schutz gegen Brute-Force-Angriffe ist ein starkes Passwort, das aus mehreren Zeichen besteht und Großbuchstaben, Zahlen und Sonderzeichen enthält. Aber allein die Stärke des Passworts schützt nicht vor Credential Stuffing. Es spielt keine Rolle, wie stark ein Passwort ist – wenn es für verschiedene Konten verwendet wird, kann Credential Stuffing jedes noch so starke Passwort kompromittieren.

So wird Credential Stuffing verhindert

So können Benutzer Credential Stuffing verhindern

Aus Benutzersicht ist die Verteidigung gegen Credential Stuffing ziemlich einfach. Benutzer sollten immer einzigartige Passwörter für jeden einzelnen Dienst verwenden (dies kann einfach mit einem Passwortmanager erreicht werden). Wenn ein Benutzer immer einzigartige Passwörter verwendet, ist Credential Stuffing bei seinen Konten unwirksam. Als zusätzliche Sicherheitsmaßnahme wird den Benutzern empfohlen, immer Zwei-Faktor-Authentifizierung zu aktivieren, sofern verfügbar.

So können Unternehmen Credential Stuffing verhindern

Das Stoppen von Credential Stuffing ist für Unternehmen, die Authentifizierungsdienste ausführen, eine komplexere Herausforderung. Credential Stuffing entsteht als Folge von Datenschutzverletzungen bei anderen Unternehmen. Die Sicherheit eines von einem Credential Stuffing-Angriff betroffenen Unternehmen wird nicht unbedingt kompromittiert.

Ein Unternehmen kann seinen Benutzern empfehlen, einzigartige Passwörter zu verwenden, dies aber normalerweise nicht wirksam durchsetzen. Als Maßnahme gegen Credential Stuffing gleichen einige Anwendungen ein übermitteltes Passwort mit einer Datenbank mit bekannten kompromittierten Passwörtern ab, bevor sie das Passwort akzeptieren. Dies ist aber nicht narrensicher – der Benutzer könnte ein Passwort von einem Dienst wiederverwenden, der noch nicht kompromittiert wurde.

Die Bereitstellung zusätzlicher Anmeldungs-Sicherheitsmerkmale kann bei der Bekämpfung von Credential Stuffing helfen. Die Aktivierung von Features wie Zwei-Faktor-Authentifizierung und CAPTCHAs für Benutzer bei der Anmeldung hilft dabei, böswillige Bots aufzuhalten. Diese Merkmale sind zwar lästig für Besucher, viele würden aber zustimmen, dass die damit verbundenen Unannehmlichkeiten sich trotzdem lohnen, um die Sicherheitsbedrohung zu minimieren.

Der stärkste Schutz gegen Credential Stuffing ist ein Bot Management-Dienst. Das Bot-Management verwendet Rate Limiting in Verbindung mit einer IP-Reputationsdatenbank, um böswillige Bots an Anmeldeversuchen zu hindern, ohne seriöse Anmeldungen dabei zu beeinträchtigen. Das Cloudflare Bot-Management, das Daten von 425 Milliarden Anfragen sammelt, die täglich über das Cloudflare-Netzwerk geroutet werden, kann mit sehr hoher Präzision Credential Stuffing-Bots erkennen und stoppen.