What is credential stuffing? | Credential stuffing vs. brute force attacks

Bei einem Credential Stuffing-Angriff werden gestohlene Anmeldeinformationen aus einem Dienst verwendet, um zu versuchen, in Konten für verschiedene andere Dienste zu gelangen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definition von Credential Stuffing
  • Unterscheidung zwischen Credential Stuffing und Brute-Force-Angriffen
  • Verstehen von Strategien zur Minderung von Credential Stuffing

Link zum Artikel kopieren

Was ist Credential Stuffing?

Credential stuffing is a cyber attack in which credentials obtained from a data breach on one service are used to attempt to log in to another unrelated service.

Beispiel für Credential Stuffing

Ein Angreifer kann z. B. eine Liste von Benutzernamen und Passwörtern aus einer Datenschutzverletzung eines großen Kaufhauses benutzen, um zu versuchen, sich auf der Website einer landesweiten Bank mit denselben Anmeldeinformationen anzumelden. Der Angreifer spekuliert darauf, dass ein Teil der Kaufhauskunden auch ein Konto bei dieser Bank hat und sie dieselben Benutzernamen und Passwörter für beide Dienste verwenden.

Credential stuffing is widespread thanks to massive lists of breached credentials being traded and sold on the black market. The proliferation of these lists, combined with advancements in credential stuffing tools that use bots to get around traditional login protections, have made credential stuffing a popular attack vector.

Was macht Credential Stuffing-Angriffe so wirksam?

Aus statistischer Sicht haben Credential Stuffing-Angriffe eine sehr geringe Erfolgsrate. Nach vielen Schätzungen liegt diese Rate bei etwa 0,1 % Dies bedeutet, dass ein Angreifer tausend Konten knacken muss, um ungefähr einmal erfolgreich zu sein. Aufgrund des enormen Volumens der von Angreifern gehandelten Sammlungen von Anmeldeinformationen lohnt sich Credential Stuffing trotz der geringen Erfolgsquote.

Diese Sammlungen enthalten Millionen und in einigen Fällen Milliarden von Anmeldeinformationen. Wenn ein Angreifer über eine Million Anmeldeinformationen verfügt, kann das ca. 1.000 erfolgreich geknackte Konten zur Folge haben. Wenn auch nur ein kleiner Anteil der geknackten Konten profitable Daten liefert (oft in Form von Kreditkartennummern oder sensiblen Daten, die bei Phishing-Angriffen verwendet werden können), lohnt sich der Angriff schon. Zudem kann der Angreifer den gleichen Vorgang mit den gleichen Anmeldeinformationen für zahlreiche verschiedene Dienste wiederholen.

Auch aufgrund der Fortschritte in der Bot-Technologie ist Credential Stuffing zu einer sinnvollen Angriffsmethode geworden. Die in Anmeldeformularen von Webanwendungen integrierten Sicherheitsmerkmale umfassen oft absichtliche Zeitverzögerungen und das Sperren der IP-Adressen von Nutzern, die wiederholt fehlgeschlagene Anmeldeversuche vorweisen. Moderne Credential Stuffing-Softwares umgehen diese Sicherheitsmaßnahmen, indem sie Bots verwenden, die gleichzeitig mehrere Anmeldeversuche durchführen, die von verschiedenen Gerätetypen zu kommen scheinen und von verschiedenen IP-Adressen stammen. Das Ziel von böswilligen Bots ist es, dass die Anmeldeversuche des Angreifers nicht vom typischen Anmelde-Traffic zu unterscheiden sind. Das ist sehr wirksam.

Oftmals ist der einzige Hinweis auf einen Angriff, den das geschädigte Unternehmen hat, die Zunahme des Gesamtvolumens der Anmeldeversuche. Selbst dann wird es für das geschädigte Unternehmen schwierig sein, diese Angriffe zu stoppen, ohne den Anmeldevorgang seriöser Benutzer zu beeinträchtigen.

Der Hauptgrund für die Wirksamkeit von Credential-Stuffing-Angriffen ist, dass Menschen Passwörter immer wieder verwenden. Studien zufolge verwendet eine Mehrheit der Benutzer, schätzungsweise bis zu 85 %, dieselben Anmeldeinformationen für mehrere Dienste. Solange diese Praxis fortbesteht, bleibt Credential Stuffing erfolgreich.

Was ist der Unterschied zwischen Credential Stuffing und Brute-Force-Angriffen?

OWASP kategorisiert Credential Stuffing als eine Untergruppe von Brute-Force-Angriffen. Aber streng genommen unterscheidet sich Credential Stuffing deutlich von traditionellen Brute-Force-Angriffen. Brute-Force-Angriffe versuchen, Passwörter ohne Zusammenhang oder Hinweise zu erraten, indem zufällige Zeichen, manchmal kombiniert mit üblichen Passwortvorschlägen, verwendet werden. Credential Stuffing nutzt ungeschützte Daten, wodurch die Anzahl der möglichen richtigen Antworten erheblich reduziert wird.

Ein guter Schutz gegen Brute-Force-Angriffe ist ein starkes Passwort, das aus mehreren Zeichen besteht und Großbuchstaben, Zahlen und Sonderzeichen enthält. Aber allein die Stärke des Passworts schützt nicht vor Credential Stuffing. Es spielt keine Rolle, wie stark ein Passwort ist – wenn es für verschiedene Konten verwendet wird, kann Credential Stuffing jedes noch so starke Passwort kompromittieren.

So wird Credential Stuffing verhindert

So können Benutzer Credential Stuffing verhindern

From a user’s point of view, defending against credential stuffing is pretty straightforward. Users should always use unique passwords for each different service (an easy way to achieve this is with a password manager). If a user always uses unique passwords, credential stuffing will not work against their accounts. As an added measure of security, users are encouraged to always enable two-factor authentication when it’s available.

So können Unternehmen Credential Stuffing verhindern

Das Stoppen von Credential Stuffing ist für Unternehmen, die Authentifizierungsdienste ausführen, eine komplexere Herausforderung. Credential Stuffing entsteht als Folge von Datenschutzverletzungen bei anderen Unternehmen. Die Sicherheit eines von einem Credential Stuffing-Angriff betroffenen Unternehmen wird nicht unbedingt kompromittiert.

Ein Unternehmen kann seinen Benutzern empfehlen, einzigartige Passwörter zu verwenden, dies aber normalerweise nicht wirksam durchsetzen. Als Maßnahme gegen Credential Stuffing gleichen einige Anwendungen ein übermitteltes Passwort mit einer Datenbank mit bekannten kompromittierten Passwörtern ab, bevor sie das Passwort akzeptieren. Dies ist aber nicht narrensicher – der Benutzer könnte ein Passwort von einem Dienst wiederverwenden, der noch nicht kompromittiert wurde.

Providing added login security features can help mitigate credential stuffing. Enabling features like two-factor authentication and requiring users to fill out captchas when logging in both also help stop malicious bots. While these are both features that inconvenience users, many would agree that minimizing the security threat is worth the inconvenience.

The strongest protection against credential stuffing is a bot management service. Bot management uses rate limiting combined with an IP reputation database to stop malicious bots from making login attempts without impacting legitimate logins. Cloudflare Bot Management, which gathers data from 25 million average requests per second routed through the Cloudflare network, can identify and stop credential-stuffing bots with very high accuracy.For organizations that want the same bot-blocking abilities but do not need an enterprise solution, Super Bot Fight Mode is now available on Cloudflare Pro and Business plans. With Super Bot Fight Mode, smaller organizations can take advantage of increased visibility and control over their bot traffic.