Was ist Credential Stuffing? (und wie Sie sich schützen können)

Was ist Credential Stuffing? (und wie Sie sich schützen können)

What Is Credential Stuffing

Eine Silhouette eines Vorhängeschlosses vor einem Zoom-Logo.

Tintentropfen/Shutterstock.com

Insgesamt sind es 500 Millionen Zoom-Konten im Dark Web zu verkaufen dank Credential Stuffing. Es ist ein üblicher Weg für Kriminelle, online in Konten einzubrechen. Hier erfahren Sie, was dieser Begriff tatsächlich bedeutet und wie Sie sich schützen können.



Es beginnt mit durchgesickerten Passwortdatenbanken

Angriffe auf Online-Dienste sind weit verbreitet. Kriminelle nutzen häufig Sicherheitslücken in Systemen aus, um an Datenbanken mit Benutzernamen und Passwörtern zu gelangen. Datenbanken mit gestohlenen Zugangsdaten werden oft online verkauft auf das dunkle netz , mit Kriminellen, die einzahlen Bitcoin für die Berechtigung zum Zugriff auf die Datenbank.

Angenommen, Sie hatten ein Konto im Avast-Forum, das war bereits 2014 durchbrochen . Dieses Konto wurde verletzt und Kriminelle haben möglicherweise Ihren Benutzernamen und Ihr Passwort im Avast-Forum. Avast hat Sie kontaktiert und Sie haben Ihr Forumspasswort ändern lassen. Worin liegt das Problem?

Leider besteht das Problem darin, dass viele Leute dieselben Passwörter auf verschiedenen Websites wiederverwenden. Angenommen, Ihre Anmeldedaten für das Avast-Forum waren you@example.com und AmazingPassword. Wenn Sie sich bei anderen Websites mit demselben Benutzernamen (Ihrer E-Mail-Adresse) und demselben Passwort angemeldet haben, kann jeder Kriminelle, der Ihre durchgesickerten Passwörter erwirbt, auf diese anderen Konten zugreifen.

Kontrollkästchen in Word aktivieren

VERBUNDEN: Was ist das Darknet?

Credential Stuffing in Aktion

Beim Credential Stuffing werden diese Datenbanken mit durchgesickerten Anmeldedaten verwendet und versucht, sich mit ihnen bei anderen Online-Diensten anzumelden.

Anzeige

Kriminelle nehmen große Datenbanken mit durchgesickerten Benutzernamen- und Passwortkombinationen – oft Millionen von Anmeldeinformationen – und versuchen, sich damit auf anderen Websites anzumelden. Manche Leute verwenden dasselbe Passwort auf mehreren Websites wieder, sodass einige übereinstimmen. Dies kann im Allgemeinen mit Software automatisiert werden, indem viele Login-Kombinationen schnell ausprobiert werden.

Für etwas so Gefährliches, das so technisch klingt, ist das alles – versuchen Sie bereits durchgesickerte Zugangsdaten für andere Dienste und sehen Sie, was funktioniert. Mit anderen Worten, Hacker stopfen all diese Anmeldeinformationen in das Anmeldeformular und sehen, was passiert. Einige von ihnen werden sicher funktionieren.

Dies ist einer der meisten Häufige Methoden, mit denen Angreifer Online-Konten hacken heutzutage. Allein im Jahr 2018 hat das Content Delivery Network Akamai fast 30 Milliarden Credential-Stuffing-Angriffe protokolliert.

VERBUNDEN: Wie Angreifer online Konten hacken und wie Sie sich schützen können

So schützen Sie sich

Mehrere Schlüssel neben einem offenen Vorhängeschloss.

Ruslan Grumble/Shutterstock.com

Taskleiste wird während des Spiels nicht ausgeblendet

Der Schutz vor Credential Stuffing ist ziemlich einfach und erfordert die Einhaltung der gleichen Passwortsicherheitspraktiken, die Sicherheitsexperten seit Jahren empfehlen. Es gibt keine magische Lösung – nur eine gute Passworthygiene. Hier ist der Rat:

    Vermeiden Sie die Wiederverwendung von Passwörtern:Verwenden Sie für jedes Konto, das Sie online verwenden, ein eindeutiges Passwort. Auf diese Weise kann Ihr Passwort selbst dann nicht verwendet werden, um sich bei anderen Websites anzumelden, wenn es durchsickert. Angreifer können versuchen, Ihre Anmeldeinformationen in andere Anmeldeformulare zu stopfen, aber sie funktionieren nicht. Verwenden Sie einen Passwort-Manager:Sich starke eindeutige Passwörter zu merken ist eine fast unmögliche Aufgabe, wenn Sie Konten auf mehreren Websites haben, und fast jeder tut dies. Wir empfehlen mit einem Passwort-Manager mögen 1Passwort (bezahlt) oder Bitwächter (kostenlos und Open Source), um sich Ihre Passwörter für Sie zu merken. Es kann sogar diese starken Passwörter von Grund auf neu generieren. Aktivieren Sie die Zwei-Faktor-Authentifizierung:Mit zweistufige Authentifizierung , müssen Sie jedes Mal, wenn Sie sich auf einer Website anmelden, etwas anderes angeben – beispielsweise einen Code, der von einer App generiert oder per SMS an Sie gesendet wird. Selbst wenn ein Angreifer Ihren Benutzernamen und Ihr Passwort kennt, kann er sich ohne diesen Code nicht bei Ihrem Konto anmelden. Erhalten Sie Benachrichtigungen zu durchgesickerten Passwörtern:Mit einem Service wie Wurde ich gepwned? , Sie können eine Benachrichtigung erhalten, wenn Ihre Zugangsdaten in einem Leck erscheinen .

VERBUNDEN: So überprüfen Sie, ob Ihr Passwort gestohlen wurde

Wie Dienste vor Credential Stuffing schützen können

Während Einzelpersonen die Verantwortung für die Sicherung ihrer Konten übernehmen müssen, gibt es für Online-Dienste viele Möglichkeiten, sich vor Angriffen mit Credential-Stuffing zu schützen.

    Durchgesickerte Datenbanken nach Benutzerpasswörtern durchsuchen:Facebook und Netflix habe gescannt durchgesickerte Datenbanken für Passwörter und vergleicht sie mit den Anmeldeinformationen in ihren eigenen Diensten. Bei einer Übereinstimmung können Facebook oder Netflix den eigenen Benutzer auffordern, sein Passwort zu ändern. Dies ist eine Möglichkeit, Anmeldeinformationen zu schlagen. Bieten Sie eine Zwei-Faktor-Authentifizierung an:Benutzer sollten in der Lage sein, die Zwei-Faktor-Authentifizierung zu aktivieren, um ihre Online-Konten zu schützen. Besonders sensible Dienste können dies zwingend vorschreiben. Sie können einen Benutzer auch bitten, in einer E-Mail auf einen Link zur Anmeldebestätigung zu klicken, um die Anmeldeanforderung zu bestätigen. Erfordern Sie ein CAPTCHA:Wenn ein Anmeldeversuch seltsam aussieht, kann ein Dienst die Eingabe eines in einem Bild angezeigten CAPTCHA-Codes oder das Klicken durch ein anderes Formular erfordern, um zu bestätigen, dass ein Mensch – und kein Bot – versucht, sich anzumelden. Beschränken Sie wiederholte Anmeldeversuche: Dienste sollten versuchen, Bots daran zu hindern, in kurzer Zeit eine große Anzahl von Anmeldeversuchen durchzuführen. Moderne ausgeklügelte Bots versuchen möglicherweise, sich von mehreren IP-Adressen gleichzeitig anzumelden, um ihre Versuche zum Füllen von Anmeldeinformationen zu verschleiern.

Schlechte Passwortpraktiken – und, um fair zu sein, schlecht gesicherte Online-Systeme, die oft zu leicht zu kompromittieren sind – machen Credential Stuffing zu einer ernsthaften Gefahr für die Sicherheit von Online-Konten. Es ist kein Wunder viele Unternehmen der Tech-Branche wollen eine sicherere Welt ohne Passwörter aufbauen .

VERBUNDEN: Die Tech-Branche will das Passwort töten. Oder tut es das?

WEITER LESEN
  • › 5 Websites, die jeder Linux-Benutzer mit einem Lesezeichen versehen sollte
  • › Was ist MIL-SPEC Fallschutz?
  • › So finden Sie Ihr Spotify Wrapped 2021
  • › Funktionen vs. Formeln in Microsoft Excel: Was ist der Unterschied?
  • › Der Computerordner ist 40: Wie Xerox Star den Desktop erstellte
  • & rsaquo; Cyber ​​Monday 2021: Die besten Tech-Deals
Profilfoto von Chris Hoffman Chris Hoffmann
Chris Hoffman ist Chefredakteur von How-To Geek. Er schreibt über ein Jahrzehnt über Technologie und war zwei Jahre lang Kolumnist bei PCWorld. Chris hat für die New York Times geschrieben, wurde als Technologieexperte von Fernsehsendern wie Miamis NBC 6 interviewt und ließ sich von Nachrichtenagenturen wie der BBC über seine Arbeit berichten. Seit 2011 hat Chris über 2.000 Artikel geschrieben, die fast eine Milliarde Mal gelesen wurden – und das nur hier bei How-To Geek.
Vollständige Biografie lesen