Credential stuffing er et af de tydeligste eksempler på, hvordan en personlig adgangskodevane hurtigt kan blive et sikkerhedsproblem for virksomheden. Angrebet er enkelt: Kriminelle tager brugernavne og adgangskoder, der er blevet blotlagt i ét databrud, og tester dem derefter automatisk mod mange andre tjenester i håb om, at nogle har genbrugt det samme login andre steder.
For virksomheder betyder det, at et databrud, som Deres virksomhed intet havde at gøre med, stadig kan blive Deres problem. Hvis en medarbejder har genbrugt en personlig adgangskode til en arbejdskonto, kan en lækage af forbrugerdata udvikle sig til uautoriseret adgang til e-mail, SaaS-værktøjer, finansplatforme, admin-paneler eller kundesystemer.
Vi vil forklare, hvad credential stuffing er, hvorfor det virker i stor skala, hvorfor små og mellemstore virksomheder er særligt udsatte, og hvordan man reducerer risikoen.
Hvordan påvirker credential stuffing virksomheder
Hvorfor credential stuffing fungerer i stor skala
Hvorfor SMV’er er mere udsat for credential stuffing
Hvad et credential stuffing-angreb kan gøre ved en virksomhed
Sådan forhindres credential stuffing-angreb
Hvad De skal gøre, hvis De har mistanke om credential stuffing
Hvordan påvirker credential stuffing virksomheder
Vi har tidligere forklaret i detaljer, hvad et credential stuffing-angreb er, så nu vil vi fokusere på, hvad credential stuffing betyder for erhvervskonti: hvor én genbrugt adgangskode kan eksponere erhvervs-e-mail, SaaS-værktøjer, adminpaneler og kundesystemer.
Denne type angreb er effektiv, fordi så mange mennesker genbruger adgangskoder. Hvis en person bruger den samme adgangskode til en personlig shoppingkonto, en profil på de sociale medier og et arbejdsværktøj, kan et databrud hos én tjeneste eksponere adgangskoden for alle tre.
Credential stuffing adskiller sig fra et brute force-angreb. Angribere bruger brute force-angreb til at gætte adgangskoder. Ved at bruge credential stuffing har de allerede reelle legitimationsoplysninger fra tidligere lækager – de kan derefter teste, om den samme adgangskode fungerer andre steder.
Det gør credential stuffing-angreb yderst effektive. En enkelt lækket legitimationsoplysning kan testes mod mailudbydere, skytjenester, platforme til kunderelationsstyring, lønværktøjer, udviklerkonti, fillagerplads og adminportaler. Selv en lav succesrate kan være værdifuld, når angribere tester i stor skala.
Hvorfor credential stuffing fungerer i stor skala
Credential stuffing er effektivt, fordi processen kan automatiseres. Kriminelle kan anskaffe store lister over lækkede legitimationsoplysninger fra tidligere databrud eller markeder på det mørke web. Derefter tester automatiserede værktøjer disse legitimationsoplysninger mod hundredvis af tjenester. Processen kan køre hurtigt, gentage forsøg, rotere IP-adresser og efterligne normale loginmønstre for at undgå grundlæggende opdagelse.
I en virksomhed er det ekstremt svært at opdage en trussel skabt af et enkelt loginforsøg. Det første tegn på et angreb på legitimationsoplysninger kan være et vellykket login fra en ukendt placering, en anmodning om nulstilling af adgangskode, en ny postkasseregel, en ændring af en faktura, en fildownload eller usædvanlig aktivitet i et SaaS-værktøj.
Angrebet nyder også godt af den måde, moderne arbejde er fordelt på. Medarbejdere bruger mange tjenester, ofte uden for et enkelt identitetssystem. Nogle konti oprettes af afdelinger uden IT-opsyn. Nogle værktøjer understøtter ikke single sign-on eller to-faktor-godkendelse (2FA). Nogle leverandørportaler har svag overvågning. Credential stuffing leder netop efter disse huller.
Hvorfor SMV’er er mere udsat for credential stuffing
Credential stuffing kan påvirke organisationer af alle størrelser, men SMV’er er ofte særligt udsatte.
Færre ressourcer, flere ansvarsområder
Mindre teams har tendens til at arbejde hurtigt og dele pligter. Medarbejdere kan oprette konti til ny software uden en formel godkendelsesproces. Delte leverandør-logins kan cirkulere via chat eller e-mail. Genbrug af adgangskoder kan gå ubemærket hen, fordi der ikke er et dedikeret sikkerhedsteam, der fører tilsyn med og håndhæver en adgangskodepolitik. En adgangskode, der blev oprettet for flere år siden, beskytter muligvis stadig et vigtigt virksomhedssystem.
Manglende digitale grænser mellem privatliv og arbejde
Den største risiko er overlap mellem personlige legitimationsoplysninger og arbejdslegitimationsoplysninger. Hvis en medarbejder bruger den samme adgangskode til en forbrugertjeneste, der har været udsat for et databrud, og en arbejdskonto, behøver angribere ikke at trænge ind i virksomheden først. De kan i stedet bruge databruddet hos forbrugertjenesten som indgangspunkt.
Det er grunden til, at forebyggelse af credential stuffing skal fokusere på at forhindre genbrug af adgangskoder. Uddannelse hjælper, men hukommelsesbaserede adgangskodevaner kan ikke skaleres. Medarbejdere kan ikke sikkert oprette og huske unikke, stærke adgangskoder til hver personlig konto og erhvervskonto uden support.
SMV’er er mål for cyberkriminelle
Protons Data Breach Observatory viser, hvor ofte lækkede data indeholder oplysninger, der kan understøtte kompromittering af konti, såsom navne, e-mailadresser, adgangskoder, økonomiske oplysninger, kontaktdetaljer og andre følsomme oplysninger.
I dag er ingen virksomhed for lille til at blive målrettet af cyberkriminelle. For eksempel blev den franske e-learning-platform GDQuest i februar 2026 ramt af et formodet databrud, der indeholdt mere end 66.000 optegnelser, herunder e-mailadresser og brugernavne. Selvom GDQuest er en så lille virksomhed, repræsenterede den en oplagt gevinst for cyberkriminelle og blev målrettet af en ikke-offentliggjort angrebsvektor.
Et lille databrud bliver til et stort problem
For små virksomheder er lektionen klar: Lækkede data forbliver ikke isoleret til den virksomhed, hvor de først dukkede op. Hvis en medarbejder genbruger en adgangskode fra en personlig konto eller tredjepartskonto, der har været udsat for databrud, kan angribere teste den samme legitimationsoplysning mod arbejds-e-mail, SaaS-platforme, finansværktøjer eller adminsystemer. Det er sådan, et eksternt databrud kan blive til et internt adgangsproblem.
Hvad et credential stuffing-angreb kan gøre ved en virksomhed
Et credential stuffing-angreb kan i første omgang forblive uopdaget: hvis en enkelt konto logger ind fra en ny enhed, eller hvis én e-mailregel ændres, eller blot ét enkelt dokument downloades. Men når først angribere har gyldige legitimationsoplysninger, vokser risikoen hurtigt.
Uautoriseret adgang til SaaS-værktøjer
Virksomhedens drift afhænger nu af SaaS-værktøjer til projektstyring, kundekommunikation, HR og salg. Hvis angribere bruger genbrugte legitimationsoplysninger til at få adgang til en af disse tjenester, kan de finde klientdata, interne dokumenter, fakturaer, kundelister eller operationelle arbejdsgange.
Selv værktøjer, der virker til at have lav risiko, kan afsløre nyttige oplysninger. En projektstyringskonto kan vise, hvilke systemer virksomheden bruger, hvem der godkender betalinger, hvilke klienter der er aktive, og hvor følsomme filer er lagret.
E-mailkompromittering og kontoovertagelse
E-mail er et af de mest værdifulde mål i et credential stuffing-angreb mod en virksomhed. Når først angribere får adgang til e-mail, kan de nulstille adgangskoder til andre tjenester, søge efter fakturaer eller kontrakter, udgive sig for at være medarbejdere, konfigurere videresendelsesregler eller overvåge samtaler i stilhed.
Det er også vigtigt at huske, at e-mailadgang understøtter phishing. En angriber med adgang til en legitim indbakke kan sende overbevisende beskeder to kolleger, klienter eller leverandører, fordi beskeden kommer fra en betroet konto.
Adgang til adminpaneler og rettighedseskalering
Hvis credential stuffing når en admin-konto, kan konsekvenserne være alvorlige. Angribere kan oprette nye konti, ændre sikkerhedsindstillinger, invitere eksterne samarbejdspartnere, deaktivere kontroller, eksportere data eller eskalere rettigheder.
Det er her, genbrug af adgangskoder bliver særligt farligt. Admin- og privilegerede konti bør aldrig genbruge adgangskoder fra andre tjenester, fordi kompromittering af dem kan påvirke mange andre konti og systemer.
Lateral bevægelse på tværs af systemer
Credential stuffing muliggør også lateral bevægelse. Når først angribere får adgang til én konto, kan de bruge det, de finder, til at teste andre systemer, identificere konti af højere værdi og bevæge sig gennem virksomhedsmiljøet.
For eksempel kan en kompromitteret SaaS-konto afsløre interne navngivningskonventioner, delte dokumenter, leverandørportaler eller links to adminsystemer. Angribere kan derefter prøve den samme adgangskode, søge efter lagrede legitimationsoplysninger eller bruge processer til nulstilling af adgangskode til at nå andre tjenester.
Risiko for ransomware og afpresning
Credential stuffing fører ikke automatisk til ransomware. I sig selv bruges det oftere til kontoovertagelse, svindel eller datatyveri. Men kompromitterede legitimationsoplysninger kan også blive det første skridt i et mere alvorligt angreb.
Hvis angribere får adgang til skylagerplads, admin-konsoller, tjenester til fjernadgang eller værktøjer til endepunktsadministration, kan de muligvis eskalere hændelsen til afpresning, driftsforstyrrelse eller udrulning af ransomware.
Sådan forhindres credential stuffing-angreb
Forebyggelse af credential stuffing starter med at fjerne den svaghed, som denne type angreb afhænger af: genbrug af adgangskoder. Derfra kan virksomheder tilføje lag, der gør uautoriseret adgang sværere at gennemføre og lettere at opdage.
Vælg unikke adgangskoder til hver konto
Unikke adgangskoder er det stærkeste forsvar mod credential stuffing. Hvis hver konto har en forskellig adgangskode, kan en legitimationsoplysning, der er lækket fra én tjeneste, ikke genbruges til at få adgang til en anden.
Dette lyder enkelt, men det er svært at opretholde manuelt. Man bør ikke forvente, at medarbejdere opfinder og husker unikke, stærke adgangskoder til hver arbejdskonto. En adgangskodeadministrator til erhverv gør dette praktisk ved at generere og lagre unikke adgangskoder til hver tjeneste.
Proton Pass for Business hjælper teams med at oprette stærke, unikke adgangskoder, lagre dem i end-to-end krypterede bokse, bruge autofyld og dele adgang på sikker vis. Dette reducerer direkte den angrebsflade, som credential stuffing er afhængig af.
Brug kontrol af adgangskodesundhed til at finde svage eller genbrugte adgangskoder
Virksomheder har også brug for synlighed i eksisterende adgangskoderisici. Genbrug af adgangskoder opbygges ofte over tid, især på tværs af ældre konti, delte værktøjer og konti oprettet uden om formelle it-processer.
Kontrol af adgangskodesundhed hjælper med at identificere svage eller genbrugte adgangskoder, så teams kan ændre dem, før angribere udnytter dem. Proton Pass for Business hjælper Dem med at identificere svage og genbrugte adgangskoder i en organisation, hvilket hjælper Dem med at prioritere og beskytte de legitimationsoplysninger, der udgør den største risiko.
Aktivér 2FA som en anden forsvarslinje
2FA tilføjer et ekstra lag, når en adgangskode er kompromitteret. Selvom angribere har det korrekte brugernavn og den korrekte adgangskode, skal de stadig bruge en anden faktor for at få adgang til kontoen. Det hjælper organisationer med at reducere sandsynligheden for, at svage, stjålne eller genbrugte legitimationsoplysninger fører direkte til uautoriseret adgang, samtidig med at den overordnede sikkerhedstilstand for højrisikokonti styrkes.
Den form for forsvar bør prioriteres for e-mail, adgangskodeadministratorer, administratorkonti, økonomiværktøjer, identitetsudbydere, skylagerplads og ethvert system, der kan nulstille eller kontrollere adgangen til andre tjenester.
2FA er et supplement til, ikke en erstatning for, unikke adgangskoder. Hvis en genbrugt adgangskode bliver eksponeret, kan angribere stadig forårsage forstyrrelser gennem gentagne login-forsøg, udelukkelser, forsøg på at narre medarbejdere til at dele 2FA-koder eller angreb på systemer, hvor 2FA ikke er påkrævet. Alligevel reducerer brugen af en authenticator risikoen for, at én stjålen adgangskode fører til øjeblikkelig kompromittering.
Brug monitorering af det mørke net til eksponerede legitimationsoplysninger
Monitorering af det mørke net hjælper virksomheder med at opdage, om medarbejderes legitimationsoplysninger optræder i databrud. I praksis fungerer det ved at scanne datasæt over databrud og kilder på det mørke net, der er forbundet med lækager af legitimationsoplysninger, såsom fora, markedspladser og andre steder, hvor stjålne data kan cirkulere. Det forhindrer ikke det oprindelige databrud, men det kan give teams mulighed for at reagere, før de eksponerede legitimationsoplysninger bliver misbrugt.
Proton Pass inkluderer Pass Monitor, som kan registrere lækager af legitimationsoplysninger og advare Dem, når Deres oplysninger optræder i et databrud. Protons Data Breach Observatory 2026 fremhæver også, hvordan lækkede virksomhedsdata optræder i det fri, og hvorfor organisationer har brug for bedre synlighed i eksponering af legitimationsoplysninger.
Når overvågningen finder eksponerede legitimationsoplysninger, bør reaktionen være hurtig: Skift den berørte adgangskode, tjek, om den blev genbrugt andre steder, tilbagekald mistænkelige sessioner, gennemgå kontoaktivitet, og aktivér 2FA, hvor det er muligt.
Beskyt Deres Proton-konto med Proton Sentinel
Proton Sentinel tilføjer avanceret kontobeskyttelse til Proton-konti. Ved hjælp af automatiseret registrering og menneskelige analytikere identificerer og udfordrer den mistænkelige forsøg på kontoovertagelse. Det kan hjælpe med at forhindre en angriber i at få adgang til Deres data, selvom de har haft succes med at stjæle Deres Proton-kontos brugernavn og adgangskode.
Vær opmærksom på, at Proton Sentinel kun er tilgængelig til at beskytte Deres Proton-konto. For de andre erhvervstjenester, som Deres medarbejdere bruger, såsom SaaS-platforme, økonomiværktøjer, admin-paneler eller leverandørportaler, bør Deres bredere forsvarsstrategier stadig afhænge af unikke adgangskoder, 2FA, overvågning og klare adgangspolitikker.
Integrer forebyggelse af credential stuffing i den daglige adgangsstyring
Den mest effektive forebyggelsesstrategi er ikke at bede medarbejderne om at huske mere. Det er at give dem et system, der gør genbrug unødvendigt.
Proton Pass for Business hjælper teams med at gøre dette ved at generere stærke, unikke adgangskoder, gemme dem i krypterede bokse, identificere svage eller genbrugte adgangskoder med kontrol af adgangskodesundhed og understøtte sikker deling på tværs af teams. Det forvandler forebyggelse af credential stuffing fra et godt råd til en daglig adgangspraksis.
Brug e-mail-aliasser
E-mail-aliaser skjuler Deres personlige eller professionelle e-mailadresser, når De tilmelder Dem nye konti eller tjenester. De er en fremragende måde at sikre, at Deres e-mailadresse ikke kan blive sporet rundt på internettet af cyberkriminelle.
Proton Pass for Business hjælper også med at reducere risikoen for credential stuffing via e-mail-aliaser drevet af SimpleLogin. Medarbejdere kan bruge et unikt e-mail-alias til hver tjeneste, de tilmelder sig, hvilket betyder, at et databrud hos én tjeneste ikke automatisk eksponerer deres primære arbejds-e-mail for forsøg på credential stuffing andre steder.
Hvad De skal gøre, hvis De har mistanke om credential stuffing
Start med at identificere de berørte konti. Søg efter usædvanlige loginplaceringer, gentagne mislykkede loginforsøg, nye enheder, uventede nulstillinger af adgangskoder, videresendelsesregler for postkasser, nye admin-brugere, usædvanlige fildownloads og ændringer i betalings- eller sikkerhedsindstillinger.
Tag derefter øjeblikkelig affære:
- Nulstil adgangskoder for de berørte konti.
- Tjek, om disse adgangskoder blev genbrugt andre steder.
- Tilbagekald aktive sessioner.
- Aktivér eller gennemtving MFA.
- Gennemgå kontoaktivitet og revisionslogge.
- Fjern uautoriserede brugere eller integrationer.
- Tjek e-mailregler og videresendelsesindstillinger.
- Underret berørte kunder, partnere eller tilsynsmyndigheder, hvis det kræves.
Efter inddæmning skal De reducere risikoen for gentagelse. Flyt berørte konti til en adgangskodeadministrator til virksomheder, erstat genbrugte adgangskoder med unikke legitimationsoplysninger, gennemgå delte konti, og brug kontrol af adgangskodesundhed til at finde eventuelle resterende svage eller genbrugte adgangskoder.
Hvis de eksponerede data omfatter personlige oplysninger, kan hændelsen også medføre databeskyttelsesforpligtelser. Protons vejledning om beskyttelse mod databrud for virksomheder kan hjælpe teams med at forstå, hvordan man reducerer risikoen for databrud og styrker kontrollen før den næste hændelse.






