Credential Stuffing: Wie Sicherheits-Lecks zum Datensieb werden

Wir alle nutzen Dutzende oder sogar Hunderte verschiedener Online-Services: E-Mail Provider, Anwender-Software, Streaming-Dienste, Zeitungs-Abos und vieles mehr. Jeder dieser Services verlangt von uns Login-Daten – mindestens einen Benutzernamen und ein Passwort. Häufig werden solche Login-Daten jedoch auf die ein oder andere Weise gestohlen und dann in großen Passwortsammlungen von Cyberkriminellen zum Verkauf angeboten. Solche Login-Daten nutzen Hacker dann beispielsweise beim sogenannten Credential Stuffing, um Profit aus den gestohlenen Daten zu schlagen.

Weshalb das Thema Credential Stuffing so wichtig ist

Immer wieder gelingt es Hackern, in die Datenbanken großer Online-Services einzudringen und dort die Login-Daten zahlreicher Nutzer zu stehlen. Die erbeuteten Daten werden im Darknet in Form von Listen zum Verkauf angeboten. Die derzeit bekannteste und größte Liste heißt „Collection #1-5“ und enthält über 2,2 Milliarden Kombinationen von Benutzernamen und Passwörtern – ein Datenvolumen von rund 900 Gigabyte!

Was kann man mit dieser Liste anfangen? Auf den ersten Blick nicht sehr viel. Wenn ein Service-Anbieter den Datendiebstahl bemerkt, warnt er seine Kunden und fordert sie auf, ihr Passwort zu ändern.

Tipp

Auf der Website des Hasso-Plattner-Institutes können Sie feststellen, ob Ihre E-Mail-Adresse bereits im Darknet veröffentlicht wurde.

Das Ändern des Passwortes schützt zwar davor, dass Hacker auf das entsprechende Benutzerkonto zugreifen können. Nur: Viele Anwender sind bequem. Sie verwenden dieselbe Kombination von E-Mail-Adresse und Passwort für verschiedene Online-Services. Hier kommt das Credential Stuffing ins Spiel, das Hacker nutzen, um die entwendeten Login-Daten doch noch zu ihrem Vorteil einsetzen zu können.

Tipp

Mehr zum Thema Passwortsicherheit erfahren Sie in unserem Schwerpunkartikel. Lesen Sie auch im Digital Guide, wie Sie mit Passwort Managern den Überblick über Ihre Logins behalten.

Credential Stuffing kurz erklärt

Beim Credential Stuffing versuchen Angreifer, mit gestohlenen Login-Daten (engl. „Credentials“) in ein System einzudringen. Dabei probieren sie eine hohe Zahl verschiedener Credentials aus, die sie bei anderen Online-Services erbeutet haben. Ziel des Angriffs ist es, an weitere wertvolle Daten im gehackten Account zu gelangen, zum Beispiel an die Kreditkarten-Nummer oder die Adresse des Anwenders, an gespeicherte Dokumente, an Kontaktdaten – kurz: an weitere Daten, aus denen sich Profit schlagen lässt.

Statistiken zufolge ist ungefähr jeder tausendste Login-Versuch erfolgreich. Mit anderen Worten: Ein Angreifer muss im Schnitt 1.000 verschiedene Login-Daten ausprobieren, um in ein System einzudringen.

Wie Credential Stuffing funktioniert

Für einen erfolgversprechenden „Credential Stuffing“-Angriff benötigt der Hacker vier Dinge:

  • Eine Liste mit Login-Daten
  • Eine Liste mit beliebten Online-Services, die er angreifen will (Beispiele: Dropbox, Adobe Cloud, Canva, etc.)
  • Eine Technik, um eine hohe Zahl unterschiedlicher IP-Adressen als Absender zu benutzen (IP-Rotation)
  • Einen „Bot“ (Computerprogramm), der vollautomatisch Login-Versuche bei den diversen Online-Services vornimmt.

Über solche Bots probiert der Hacker bei einem Online-Service ein Login nach dem anderen aus, wobei systematisch die Absender-IP-Adresse verändert wird, damit der Zielserver die Login-Versuche nicht blockiert. Denn jeder gut konfigurierte Server wird eine IP-Adresse sperren, wenn die Anzahl fehlgeschlagener Login-Versuche eine bestimmte Schwelle überschreitet.

Gelingt das Login, greift der Bot die oben erwähnten, wertvollen Informationen ab. Zusätzlich werden die erfolgreichen Login-Daten zur spätere Verwendungen – beispielsweise für Phishing-Attacken und dergleichen – gespeichert.

Verglichen mit folgenden Hacker-Methoden ist Credential Stuffing oft deutlich effizienter:

  • Brute-Force-Attacken erfordern eine viel höhere Anzahl Versuche, weil rein zufällige Passwort-Kombinationen ausprobiert werden und nicht – wie beim Credential Stuffing – tatsächlich existierende Passwörter.
  • Social Engineering beschränkt den Angriff meist auf eine einzige Plattform (Beispiel: Amazon), während Credential Stuffing Hunderte verschiedener Online Services gleichzeitig angreifen kann.

Wie Sie sich gegen Credential Stuffing schützen können

Die einfachste und sicherste Schutzmaßnahme ist die Verwendung unterschiedlicher Passwörter für Ihre verschiedenen Logins. Dies ist zwar unbequem, aber es ist trotzdem weniger mühsam, sich eine Methode zum Merken unterschiedlicher Passwörter zurechtzulegen, als im Falle eines Sicherheits-Lecks das Passwort für sämtliche Logins einzeln ändern zu müssen.

Tipp

Lesen Sie hier, wie Sie sich durch ein sicheres Passwort schützen.

Bewährte Methoden im Umgang mit unterschiedlichen Passwörtern sind:

  • ein geheimes Passwort-Schema, das für alle Passwörter gleichermaßen angewandt wird. Ein bewährtes Schema ist die Vermischung von Plattform-Name mit einer festen Zahlenkombination. Das Passwort für Dropbox wäre dann zum Beispiel dro33pbox22 und dasjenige für Amazon ama33zon22.
  • die Verwendung einesPasswort-Managers; hier hat man die Wahl zwischen einer App und einem Browser-Add-on.
  • die Verwendung mehrerer E-Mail-Adressen bzw. Benutzernamen für die verschiedenen Plattformen, jeweils mit einem anderen Passwort.

Serverseitige Schutzmaßnahmen

Für die Betreiber von Websites, Webshops und Online-Services existiert eine ganze Reihe verschiedener Möglichkeiten, die Anwender vor Credential Stuffing zu schützen:

  • TOTP-based Authenticator, d.h. Verwendung eines einmaligen temporären Passwortes (time-based one-time password) für die Anmeldung
  • Multi-Faktor-Authentisierung, zum Beispiel Zusendung eines SMS-Codes auf das Smartphone
  • Blockieren von Headless Browsern, wie sie bei Bots zum Einsatz kommen
  • Datenverkehr aus Datencentern wie z.B. Amazon Web Services oder IBM Watson blockieren. Denn Bots werden häufig von solchen Datencentern aus betrieben.
  • Verwendung spezialisierter Verteidigungs-Software. Für WordPress bietet sich beispielsweise das Plugin Wordfence Login Security an.
  • Device Fingerprinting. Dabei werden verschiedene Merkmale des Anwender-Computers wie zum Beispiel die MAC-Adresse, die Festplatten-Größe, usw. ausgelesen und zu einem Hash-Wert verrechnet, sodass ein Login-Versuch von einem fremden Computer sofort entlarvt werden kann.

SSL-Zertifikate von IONOS!

Wahren Sie dank SSL-Zertifikaten die Geheimhaltung Ihres Online-Verkehrs und stärken Sie das Vertrauen Ihrer Kunden in die Sicherheit Ihrer Webseite.

Geprüfte Sicherheit
Bis zu 256-bit Verschlüsselung
Einfache Aktivierung

Black Friday Angebote
Starke Rabatte auf unsere Lösungen für Ihren digitalen Erfolg. Angebote gültig bis Cyber Monday, 30.11.2020.
Bis zu 98% sparen