Was gegen Credential Stuffing hilft Tschüss Passwort, hallo Biometrie!

Autor / Redakteur: Stephan Schweizer / Peter Schmitz

Credential Stuffing verheißt für Cyberkriminelle viel Ertrag mit wenig Aufwand: Es genügen eine Liste gestohlener Passwörter und ein Tool, das diese Login-Daten mithilfe rotierender Proxys über mehrere Dienste hinweg testet. Den Rest erledigt die statistische Wahrscheinlichkeit, denn zu viele Nutzer verwenden für verschiedene Onlinedienste immer wieder dasselbe Passwort. Dagegen gibt es wirksame Strategien.

Firmen zum Thema

Veraltete Passwortverfahren leisten dem Missbrauch durch Datendiebe Vorschub – die passwortlose Authentifizierung ermöglicht Gegenstrategien.
Veraltete Passwortverfahren leisten dem Missbrauch durch Datendiebe Vorschub – die passwortlose Authentifizierung ermöglicht Gegenstrategien.
(Bild: © SFIO CRACHO - stock.adobe.com)

Credential Stuffing, also das automatisierte „Durchprobieren“ von Benutzername-Passwort-Kombinationen in verschiedenen Online-Diensten, hat seit 2019 einen starken Aufschwung erlebt: Ursache sind große Data Breaches etwa bei Marriott, Equifax oder LinkedIn, durch die eine Vielzahl an Login-Daten in die Hände von Kriminellen gelangten. Schwerer wiegt aber, dass rund 52 Prozent der User ihre Passwörter nicht nur einmal vergeben, sondern wiederverwenden – so Zahlen des Verizon Data Breach Investigations Report 2020. Ein einmal gestohlenes Passwort kann so als „Generalschlüssel“ zu verschiedensten Diensten fungieren.

Nutzergewohnheiten, die sich teils über Jahrzehnte eingeschliffen haben, erleichtern den Kriminellen ihr Handwerk zusätzlich. Noch immer bilden „123456“, „password“ und „abc123“ die unrühmlichen Top drei der beliebtesten und gleichzeitig unsichersten Passwörter weltweit. Auch, wer mehr Wert auf Sicherheit legt, greift oft daneben: Rund 32 Prozent der User vertrauen auf Fantasiewörter und 21 Prozent auf Geburtsdaten – leider sind gerade diese Kombinationen besonders leicht zu knacken. Den Expertenrat, ganze Sätze und damit möglichst viele Zeichen als Passwort zu nutzen, beherzigen mit gerade einmal elf Prozent viel zu wenige Menschen.

Welche Goldgräberstimmung unter Cyberkriminellen herrscht, lässt sich auch mit einem Blick auf die Zahl der erfolgreichen Cyberattacken 2020 ermessen: Über 80 Prozent erfolgten mittels gestohlener Login-Daten oder Brute Force; bevorzugtes Angriffsziel waren mit mehr als 90 Prozent Web-Applikationen (vgl. Verizon Data Breach Investigations Report 2020). Tiefere Technik- oder Programmierkenntnisse müssen die Täter dabei nicht mitbringen: Geleakte Passwortlisten sind teils frei zugänglich oder lassen sich im Darknet käuflich erwerben. Ebenso einfach gestaltet sich der Zugang zu Tools fürs Credential Stuffing.

Credential Stuffing im Detail

Einschlägige Toolsets bringen bereits alles mit, um mit geringem Aufwand großen Schaden anzurichten. Optimierte Voreinstellungen für unterschiedliche Angriffsziele ermöglichen einen automatisierten Angriff auf Knopfdruck – dabei können Bankkonten, Cloudspeicher oder E-Commerce-Accounts ebenso das Ziel sein wie die Websites von Airlines und Hotels, Datingportalen oder Gaming- und Gambling-Anbietern.

Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen mit Hilfe eines rotierenden Proxys, der Hunderttausende von Anmelde-Informationen über mehrere Dienste hinweg ansteuert. Der zeitliche Aufwand liegt selbst für eine groß angelegte Attacke bei wenigen Minuten – das unterstreicht die Gefahr, die von Credential Stuffing ausgeht.

Eine Modellrechnung zeigt das Ausmaß möglicher Schäden: Bereits bei einer durchschnittlichen Größe von einer Million gestohlener Logindaten und der konservativ geschätzten Erfolgsquote von 0,5 bis drei Prozent ergeben sich 5.000 bis 30.000 Accounts, auf die sich die Kriminellen im Verlauf einer einzigen Credential-Stuffing-Attacke Zugriff verschaffen können.

Die Hürden für Endanwender

Keine Frage: Der Gebrauch unsicherer Passwörter und ihre Mehrfachnutzung sind ein schwerwiegendes Problem. Doch den Nutzern die alleinige Schuld an der Passwort-Misere zuzuschieben, führt in die Irre. Warum aber agieren Anwender immer wieder so scheinbar sicherheitsvergessen?

  • Die Zahl der Anbieter von Waren und Dienstleistungen im Netz ist seit den Anfängen des Internets exponentiell gewachsen. Mittlerweile verfügt ein Anwender über bis zu 130 digitale Benutzerkonten. Für jedes ein individuelles Passwort zu vergeben – und es sich sicher zu merken! – ist für viele schlicht nicht praktikabel.

Benutzername und Passwort sind also gerade deshalb ein Sicherheitsrisiko, weil sie beim Endanwender ein nicht zu unterschätzendes Frustpotenzial entfalten – das schließlich in einer gefährlichen Lethargie in Sicherheitsfragen mündet. Das Security and Privacy Institute (CyLab) der Carnegie Mellon University hat das daraus resultierende Nutzerverhalten nach einer Datenpanne analysiert. Die Ergebnisse sind alarmierend: Nur 33 Prozent der Nutzer änderten tatsächlich ihre Passwörter, nachdem sie über eine Datenschutzverletzung informiert wurden, und das jeweils nur für die jeweilige Plattform oder den betroffenen Account. Die Wahrscheinlichkeit, dass diese Nutzer ihr Passwort für alle Konten mit denselben Anmeldedaten ändern, dürfte noch weitaus geringer ausfallen.

Klar ist: Die meisten Nutzer wünschen sich bequeme Alternativen zum konventionellen Passwort, die gleichzeitig hohe Sicherheitsstandards erfüllen. Aber welche Verfahren bieten sich hier an? Eines ganz sicher nicht: Die beliebte SMS-TAN.

Die SMS-Falle

Die SMS als Teil einer Zweifaktor-Authentifizierung wird noch immer häufig eingesetzt. Wie schnell sich dieses System aushebeln lässt, hat jüngst ein Test mit der Software Sakari durch die Website Motherboard ergeben: Das eigentlich fürs Unternehmensmarketing gedachte Tool ermöglicht den massenhaften SMS-Versand. Dabei lassen sich jedoch beliebige Mobilfunknummern hinterlegen – und sogar die an diese Nummern gerichteten SMS empfangen. Hacker können das nutzen, um die SMS eines Zweifaktor-Systems abzufangen, ohne dass der eigentliche Adressat dies bemerkt.

Der Grundfehler des Systems liegt damit offen zutage: De facto existieren keine Standards und Sicherheitsprotokolle für das (Re-)Routing von SMS. Eine weitere Nutzung im Rahmen von Zweifaktor-Authentifizierungen sollte unbedingt vermieden werden.

Passwörter abschaffen: So geht’s

Dabei existiert mittlerweile ein Verfahren, das Passwörter vollständig durch eine biometrische Authentisierung ersetzt und sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessert: Die sogenannte passwortfreie Authentisierung.

Dreh- und Angelpunkt sind die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Authentifizierung des Nutzers anhand seiner Gesichtszüge oder Fingerabdrücke ermöglichen – ohne dass sensible Daten jemals das Gerät verlassen.

Beispiel Face ID

Biometrische Merkmale bieten prinzipbedingt eine große Sicherheit. Beispiel Face ID: Bei der Einrichtung scannt das Gerät das Gesicht des Nutzers und erstellt eine Art „Landkarte“ der Physiognomie mit ihren einzigartigen physiologischen Merkmalen. Diese unverwechselbaren Kennzeichen werden als Datenpunkte in Form eines verschlüsselten 3D-Bildes direkt auf dem Mobilgerät gespeichert. Sobald diese einzigartigen Identifizierungsmerkmale im Speicher abgelegt sind, erkennt das Smartphone den Nutzer sofort, wenn er einen Blick auf das Display wirft.

Face ID registriert darüber hinaus potenzielle Veränderungen der Gesichtszüge, die im Laufe der Zeit auftreten können – wie Falten oder Tränensäcke unter den Augen – und „erlernt“ diese leicht veränderten biometrischen Merkmale mittels Machine Learning. Auch ein paar schlaflose Nächte machen den Nutzer also nicht für das System unkenntlich.

Passwortfrei per App

Die passwortfreie Zweifaktor-Authentifizierung per App nutzt den hohen Sicherheitsstandard der biometrischen Daten: Das verwendete FIDO UAF Protokoll basiert auf asymmetrischer Verschlüsselung, wobei der private Schlüssel immer auf dem Endgerät des Benutzers verbleibt und in einem speziell abgesicherten Chip-Set, der Secure Enclave, abgespeichert wird. Die biometrischen Merkmale wie Gesicht und Fingerabdruck werden lediglich zur Entsperrung des privaten Schlüssels verwendet und verbleiben daher ebenfalls immer auf dem Endgerät. Dieser Ansatz ermöglicht sehr hohe Sicherheit und zudem die Wahrung der Privatsphäre des Benutzers.

Insgesamt verspricht die Nutzung der passwortfreien Authentifizierung einen gewaltigen Sprung in der End-to-End-Sicherheit bei gleichzeitiger Verbesserung des Kundenerfahrung. Eine flächendeckende Durchsetzung des Verfahrens wird entscheidend dazu beitragen, großangelegte Betrugsmanöver wie das Credential Stuffing in Zukunft wirksam auszubremsen.

Über den Autor: Stephan Schweizer ist seit 2020 Chief Executive Officer der neu gegründeten Nevis Security AG, einem Spin-off der AdNovum Informatik AG.

(ID:47463625)