Credential Stuffing– Definition

Was ist Credential Stuffing?

Der Begriff Credential Stuffing bezeichnet das Nutzer-Phänomen, aus Bequemlichkeit ein Passwort für mehrere Accounts / Zugänge zu verwenden, was von Cyberkriminellen ausgenutzt wird.

Aufgrund der Tatsache, dass sich viele Menschen der Wichtigkeit der Passwort-Sicherheit nicht bewusst sind oder sie zu bequem sind, verschiedene Passwörter für all ihre Accounts und Log-ins zu verwenden, reicht es, wenn Cyberkriminelle sich auf irgendeinem Weg Zugang zu diesem einen Passwort verschaffen. Das kann über klassisches Phishing via E-Mail erfolgen oder beispielsweise durch den gezielten Angriff einer bestimmten Plattform, die verhältnismäßig einfach zu hacken ist. Mit nur einem Angriff wird also ein Passwort erworben, dass die Cyberkriminellen dann auch bei anderen Plattformen (z. B. Banking-Accounts, Online-Shops, Firmen-Konten) einsetzen können.

Credential Stuffing nutzt Bequemlichkeit von Nutzern aus

Credential Stuffing ist immer dann für Hacker erfolgreich, wenn die ergaunerten Zugangsdaten auch bei anderen Plattformen, Web-Diensten oder Accounts einen Log-in ermöglichen. Auf diese Weise ist es den Cyberkriminellen leicht möglich, Daten zu stehlen, Einkäufe zu tätigen oder Gelder auf anonyme Auslandskonten zu transferieren. Credential Stuffing ist auch eine besonders beliebte Methode, um Unternehmen zu schaden bzw. an deren Daten zu gelangen.

Zudem werden Listen mit gehackten oder gestohlenen Zugangsdaten im Darknet zum Verkauf angeboten, was Cyberkriminellen Credential Stuffing auch ermöglicht, ohne dass sie selbst vorab aktiv werden müssen.

Statt mit gestohlenen oder geleakten Zugangsdaten manuell zu versuchen, sich auf anderen Plattformen einzuloggen, nutzen professionelle Cyberkriminelle auch entsprechende Bots und starten so eine so genannte Brute-Force-Attacke. Innerhalb weniger Stunden können so Millionen von Kombinationen aus Passwort und Nutzername bzw. E-Mail Adresse ausprobiert werden, bis die richtige dabei ist.

Schutz vor Credential Stuffing

Um sich vor Credential Stuffing zu schützen, ist es zwingend nötig, für jeden Account/Web-Dienst ein anderes, sicheres Passwort zu verwenden. Am einfachsten funktioniert das mit einem Passwort-Manager. Dabei handelt es sich um eine Software, die automatisch sichere Passwörter generiert und einsetzt, wohingegen sich der Nutzer nur sein Master-Passwort merken muss. Wer keine Passwort-Manager einsetzt, sollte seine Passwörter nicht nur nach den allgemeinen Sicherheitsregeln wählen, sondern sie auch in regelmäßigen Abständen ändern. Beide Methoden schützen entsprechend gut vor Credential Stuffing, da diese Methode einzig und allein darauf basiert, dass das gleiche Passwort für mehrere Accounts verwendet wird.