Definition Credential Stuffing Was ist Credential Stuffing?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Credential Stuffing ist eine Cyberangriffsmethode, die zuvor geleakte oder illegal erlangte Anmeldedaten nutzt, um sie für den unbefugten Zugang bei anderen Diensten massenhaft auszuprobieren. Die Angreifer gehen davon aus, dass Anwender ihre Login-Daten mit gleichen Benutzernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden. Diese Angriffsmethode gehört zu den am häufigsten im Internet vorkommenden Cyberangriffen.

Firmen zum Thema

Unter Credential Stuffing versteht man das massenhafte Ausprobieren valider Login-Daten bei anderen Diensten.
Unter Credential Stuffing versteht man das massenhafte Ausprobieren valider Login-Daten bei anderen Diensten.
(Bild: gemeinfrei / Pixabay )

Das Credential Stuffing ist eine sehr häufig im Internet auftretenden Angriffsmethode. Die Angreifer nutzen über andere Cyberangriffe illegal erlangte, geleakte oder gestohlene Anmeldedaten bestehend aus Usernamen und Passwörtern und probieren sie bei anderen Onlinediensten aus.

Die Angriffsmethode basiert auf der Tatsache, dass viele User ihre Zugangsdaten (Credentials) mit gleichen Usernamen und Passwörtern bei mehreren Diensten gleichzeitig verwenden. Listen mit großer Anzahl gültiger Login-Daten können Angreifer für diese Art des Cyberangriffs beispielsweise im Darknet erwerben. Für die Zugangsversuche kommen in der Regel Bot-Netzwerke zum Einsatz, die das Erkennen massenhafter Login-Versuche für die Diensteanbieter erschweren. Gelingt dem Angreifer der unbefugte Zugang zu einem Dienst oder System, verwendet er diesen für weitere kriminelle Aktivitäten.

Funktionsweise des Credential Stuffings

Als Datengrundlage für die Angriffsmethode benötigen die Angreifer eine Liste mit gültigen Anmeldedaten einzelner User und Dienste. Diese Listen bestehen in der Regel aus tausenden Einträgen mit Kombinationen aus Usernamen oder E-Mail-Adresse und Passwörtern. Die Angreifer definieren anschließend die Dienste und Online-Services, bei denen sie die Credentials ausprobieren möchten. Die Liste der Dienste und die Liste der Anmeldedaten werden in ein Botnet eingespielt, das die Listen automatisiert abarbeitet und massenhaft Zugangsversuche von verschiedenen Einzelrechnern mit unterschiedlichen IP-Adresse ausführt. Das Botnet verschleiert die Zugangsversuche und erschwert den Diensteanbietern das Erkennen und Abwehren der unautorisierten Anmeldeversuche. Alle erfolgreichen Zugangsversuche werden dokumentiert und anschließend von den Angreifern für weitere kriminelle Aktivitäten genutzt.

Abgrenzung zum Brute-Force-Angriff

Das Credential Stuffing lässt sich deutlich vom Brute-Force-Angriff abgrenzen. Bei einem Brute-Force-Angriff werden nach bestimmten Methoden generierte Passwörter in Kombination mit einem Benutzernamen so lange ausprobiert, bis zufällig eine Kombination passt. Das Credential Stuffing hingegen probiert tatsächlich gültige Kombinationen aus Usernamen und Passwörtern für den Zugang bei anderen Diensten aus. Brute-Force-Angriffe müssen deutlich mehr Kombinationen ausprobieren, bis ein Zugangsversuch erfolgreich ist. Starke Passwörter verringern die Erfolgsaussicht eines Brute-Force-Angriffs. Für das Credential Stuffing stellen starke Passwörter, die bei mehreren Diensten gleichzeitig zum Einsatz kommen, kein Hindernis dar.

Schutzmaßnahmen vor Credential Stuffing

Wichtigste Maßnahme zum Schutz vor dieser Angriffsmethode ist, dass keine identischen Anmeldedaten bei unterschiedlichen Diensten verwendet werden. Für jeden Zugang zu einem Online-Service oder zu einem System sollte immer eine nur einmal verwendete Kombination aus Usernamen und starkem Passwort eingesetzt werden.

Folgende weitere Schutzmaßnahmen können das Credential Stuffing verhindern:

  • regelmäßig prüfen, ob Zugangsdaten kompromittiert oder gestohlen wurden (es existieren zahlreiche Dienste im Netz, die den Service anbieten, veröffentlichte Listen zu prüfen)
  • Einsatz der Multi-Faktor-Authentifizierung
  • Verwendung eines zusätzlichen CAPTCHAs beim Login
  • Verwendung von Einmal-Passwörtern
  • Einsatz von Security-Systemen, die massenhafte, automatisierte Anmeldeversuche von Bot-Netzen erkennen und abwehren

(ID:47386166)

Über den Autor