Credential Stuffing ist eine beliebte Art von Cyberangriff, bei dem Angreifer Anmeldeinformationen nehmen und sie auf Tausenden von Websites verwenden, in der Hoffnung, betrügerisch Zugang zu den Konten von Personen zu erlangen. Es ist ein effektiver Angriff, aber glücklicherweise einer, der leicht zu verhindern ist.
Dieser Artikel untersucht Credential Stuffing detaillierter und erklärt, wie du dich dagegen schützen kannst.
Was ist Credential Stuffing?
Ein Credential-Stuffing-Angriff ist, wenn ein Angreifer Benutzernamen, E-Mail-Adressen und Passwörter (die Anmeldeinformationen) von Personen nimmt und automatisierte Tools verwendet, um sie auf so viele Seiten wie möglich einzuspeisen (das Stuffing). In fast allen Fällen erhalten die Angreifer diese Anmeldeinformationen aus einem früheren Angriff oder einem Datenleck, wie dem, das Dropbox betraf.
Wie ein Credential-Stuffing-Angriff funktioniert
Die Tatsache, dass viele Menschen unter Passwortmüdigkeit leiden, macht Credential Stuffing zu einem effektiven Angriff. Bis zu 65% der Menschen(neues Fenster) verwenden ihre Passwörter für mehrere Konten, was bedeutet, dass, wenn ihre Passwörter jemals bei einem Datenleck offengelegt werden, all diese Konten gefährdet wären.
Wenn du beispielsweise ein Konto bei einem Online-Dienst hattest, das jimmysmith92 als deinen Benutzernamen und password123 als dein Passwort verwendet, würde ein Credential Stuffer automatisierte Software verwenden, um so viele andere Dienste wie möglich auszuprobieren, um zu sehen, ob du diese Kombination von Benutzername und Passwort auch anderswo verwendet hast. Wenn ja, hätten sie leicht Zugang zu einem weiteren Konto.
Credential Stuffing wird in der Regel als Brute-Force-Angriff kategorisiert (bei dem ein Angreifer Software verwendet, um ein Passwort zu „erraten“, indem er jede mögliche Kombination von Buchstaben und Symbolen ausprobiert), da es auf demselben Prinzip beruht. Statt jedes mögliche Passwort auszuprobieren, um Zugang zu einem einzigen Dienst zu erhalten, verwendet Credential Stuffing ein einzelnes Passwort und versucht es auf jeder Website und jedem Dienst.
Die Regelmäßigkeit massiver Datenlecks erleichtert es Angreifern, Credential Stuffing durchzuführen, und obwohl verifizierbare Zahlen schwer zu finden sind, deutet die Verbreitung wiederverwendeter Passwörter darauf hin, dass sie effektiv sind. Laut dem Zugriffsmanagement-Unternehmen Okta(neues Fenster) werden 34% der Zugriffsversuche über seine Plattform als Credential-Stuffing-Angriffe identifiziert.
Wie man einen Credential-Stuffing-Angriff verhindert
So häufig und erfolgreich sie auch sein mögen, es gibt eine überraschend einfache Möglichkeit, sich gegen Credential-Stuffing-Angriffe zu schützen – verwende niemals deine Passwörter mehrfach. Wenn du jedes einzelne deiner Konten mit einem einzigartigen und zufälligen Passwort schützt, wird Credential Stuffing bei keinem deiner Konten funktionieren – und andere Brute-Force-Versuche werden wahrscheinlich auch scheitern.
Um starke, zufällige Passwörter zu erstellen, die für die meisten Computer fast unmöglich zu knacken sind, musst du einen Passwortgenerator verwenden. Natürlich bleibt das Problem, sich all diese neuen, zufälligen Passwörter zu merken, was für die meisten Menschen fast unmöglich ist.
Hier kommen Passwortmanager ins Spiel. Das sind Programme, die Passwörter für dich speichern und sie dann automatisch ausfüllen können, wann immer du sie brauchst. Man kann gar nicht genug betonen, wie nützlich Passwortmanager sind. Sie sind eine enorme Verbesserung für deine digitale Lebensqualität und tragen auch zu deiner Online-Sicherheit bei.
Wie dir Proton Pass helfen kann
Da dein Passwortmanager so viele wertvolle Informationen enthält, ist es eine gute Idee, einen möglichst sicheren zu wählen. Deshalb haben wir Proton Pass entwickelt. Wie alle Proton-Produkte verwendet auch Proton Pass Ende-zu-Ende-Verschlüsselung, um Daten jederzeit sicher zu halten. Das bedeutet, dass selbst im unwahrscheinlichen Fall eines Sicherheitsvorfalls deine Daten weiterhin sicher wären.
Proton Pass bietet einen integrierten Passwortgenerator sowie die Möglichkeit, Passwörter und Kreditkarten zu speichern und automatisch auszufüllen und sogar sichere Notizen hinzuzufügen. All diese Informationen können bei Bedarf mit Freunden und Familie geteilt und sicher aufbewahrt werden.
Darüber hinaus ermöglicht dir Proton Pass auch das Erstellen von E-Mail-Aliasen, die deine echte E-Mail-Adresse vor Marketern und Cyberkriminellen schützen und eine weitere Schutzebene gegen Credential Stuffing bieten.
Wenn du dich vor Credential Stuffing schützen und gleichzeitig einen benutzerfreundlichen Passwortmanager verwenden möchtest, der mehr kann als nur Passwörter zu speichern, erstelle noch heute ein kostenloses Proton Pass-Konto.