„Im Internet verwende ich immer eines von meinen Standardpasswörtern.“ Warum Sie diese Einstellung als Verbraucher schnell zur Zielscheibe von Hackern macht. #CredentialStuffing.

Bei einer Credential Stuffing Attacke versucht ein Cyberkrimineller sich Zugriff mit Hilfe von bekannten Zugangsdaten zu einem Account zu verschaffen. Damit dies gelingt, probiert der Angreifer ihm bekannte Credentials (Zugangsdaten wie z.B. E-Mail und Passwort) des Opfers aus. Kennt der Angreifer beispielsweise die E-Mail und das Passwort von dem Facebook Konto seines “Opfers“, nutzt er diese um zu schauen, ob das „Opfer“ die gleichen Zugangsdaten auch noch bei anderen Diensten zum Login verwendet hat. Dementsprechend zeichnet sich eine Credential Stuffing Attacke dadurch aus, dass der Angreifer die Zugangsdaten von mindestens einem Account kennt.

Doch woher hat der Angreifer die entsprechenden Zugangsdaten? In der Regel hat der Angreifer diese aus dem Darknet. Wenn ein Dienst, wie Facebook in diesem Beispiel, gehackt wird und die Zugangsdaten abgefischt werden, dann ist es meistens nur eine Frage der Zeit bis die Daten im Darknet auftauchen. Wenn der Hacker jetzt also eine Credential Stuffing Attacke durchführen möchte,  nimmt er sich eine E-Mail-Passwort-Kombination aus dem Hack und probiert diese bei beliebig vielen Online Diensten aus. Da der manuelle Aufwand dabei recht hoch ist, gibt es Programme, die automatisch die Credentials bei zuvor ausgewählten Diensten ausprobieren. Ist ein Login erfolgreich, dann bekommt der Hacker eine Benachrichtigung und kann nun nächste Schritte, wie z.B. ein Erpressungsversuch, einleiten.

Gibt es einen Schutz gegen Credential Stuffing? Credential Stuffing beruht darauf, dass ein Nutzer die gleichen Credentials bei mindestens zwei Diensten benutzt. Dementsprechend kann sich ein Nutzer schützen, indem er für jeden Dienst andere Credentials, sprich ein anderes Passwort, benutzt. Dann wird eine Credential Stuffing Attacke nie Erfolg haben. Wichtig hierbei: Es gibt auch Methoden, um leicht veränderte Passwörter automatisiert zu verwenden, d. h. die Passwörter:

  • Passwort123
  • Passwort1234
  • Passwort12345

zu verwenden, ist ähnlich unsicher. Um sich als Nutzer die Ganzen verschiedenen Passwörter überhaupt merken zu können, ist ein Passwort Manager zu empfehlen. Dieser verwaltet nicht nur die Passwörter, sondern kann auch neue, vor allem sichere Passwörter generieren.

Autor: Linus Töbke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  +  22  =  23

Verwandte Artikel