Im Dark Web werden schätzungsweise 500 Millionen Zugangsdaten für Zoom-Konten zum Kauf angeboten. Diese Situation ist das Ergebnis von sogenannten „Credential-Stuffing“-Angriffen. Bei dieser Methode versuchen Kriminelle, sich mit gestohlenen Anmeldedaten in verschiedene Konten einzuloggen. Im Folgenden erklären wir, was genau „Credential Stuffing“ bedeutet und wie man sich davor schützen kann.
Die Grundlage: Durchgesickerte Datenbanken mit Passwörtern
Angriffe auf Online-Dienste sind ein weit verbreitetes Phänomen. Kriminelle nutzen dabei Sicherheitslücken in Systemen aus, um an Datenbanken mit Nutzernamen und Passwörtern zu gelangen. Diese gestohlenen Zugangsdaten werden anschließend im Darknet gehandelt, wobei Käufer in der Regel mit Bitcoin zahlen müssen.
Nehmen wir an, Ihr Konto im Avast-Forum wurde bereits 2014 kompromittiert. Dadurch könnten Ihre Zugangsdaten (Benutzername und Passwort) in die Hände von Kriminellen gefallen sein. Avast hätte Sie zwar darüber informiert und zur Änderung Ihres Passworts aufgefordert. Aber hier liegt das Problem.
Viele Menschen verwenden leider dieselben Passwörter für verschiedene Online-Dienste. Wenn Ihre Anmeldedaten für das Avast-Forum beispielsweise „muster@email.de“ und „GeheimesPasswort“ waren und Sie diese auch für andere Konten verwendet haben, können Kriminelle mit den gestohlenen Daten leicht auf diese Konten zugreifen.
Credential Stuffing in der Praxis
„Credential Stuffing“ bezeichnet den Prozess, bei dem gestohlene Zugangsdaten genutzt werden, um sich bei anderen Online-Diensten anzumelden.
Kriminelle verwenden große Datenbanken mit gestohlenen Benutzername- und Passwortkombinationen – oft Millionen von Datensätzen – und versuchen, sich damit auf anderen Webseiten einzuloggen. Da einige Nutzer dasselbe Passwort für mehrere Dienste verwenden, ist diese Methode oft erfolgreich. Dieser Vorgang wird meist mithilfe von Software automatisiert, um schnell eine Vielzahl von Anmeldekombinationen auszuprobieren.
So gefährlich und technisch sich das auch anhören mag, ist es im Grunde nichts anderes, als das Ausprobieren von bereits durchgesickerten Zugangsdaten bei anderen Diensten. Man könnte sagen, dass „Hacker“ diese Anmeldeinformationen quasi in Anmeldeformulare „stopfen“ und abwarten, was funktioniert. Und einige davon werden eben erfolgreich sein.
Dies ist eine der gängigsten Methoden, mit denen Angreifer heutzutage Online-Konten „hacken“. Allein im Jahr 2018 registrierte das Content Delivery Network Akamai fast 30 Milliarden Credential-Stuffing-Angriffe.
Wie man sich schützt
Der Schutz vor Credential-Stuffing ist relativ einfach und erfordert lediglich die Einhaltung grundlegender Passwortsicherheitsmaßnahmen, die Sicherheitsexperten seit Jahren empfehlen. Es gibt keine „magische“ Lösung, sondern nur eine gute „Passwort-Hygiene“. Hier sind einige Tipps:
- Vermeiden Sie die Wiederverwendung von Passwörtern: Verwenden Sie für jedes Online-Konto ein eindeutiges Passwort. Selbst wenn eines Ihrer Passwörter kompromittiert wird, können Kriminelle es nicht für andere Konten verwenden. Ihre Zugangsdaten können zwar in andere Formulare „gestopft“ werden, aber sie werden nicht funktionieren.
- Verwenden Sie einen Passwort-Manager: Es ist fast unmöglich, sich starke, einzigartige Passwörter für alle Online-Konten zu merken. Wir empfehlen die Nutzung eines Passwortmanagers wie 1Password (kostenpflichtig) oder Bitwarden (kostenlos und Open-Source), um Ihre Passwörter sicher zu speichern. Diese Programme können auch starke Passwörter generieren.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Bei der 2FA ist neben dem Passwort eine zusätzliche Bestätigung erforderlich, zum Beispiel ein Code, der von einer App generiert oder per SMS gesendet wird. Selbst wenn ein Angreifer Ihren Benutzernamen und Ihr Passwort kennt, kann er sich ohne den zusätzlichen Code nicht in Ihr Konto einloggen.
- Lassen Sie sich über Datenlecks benachrichtigen: Dienste wie Have I Been Pwned? informieren Sie, wenn Ihre Zugangsdaten bei einem Datenleck veröffentlicht wurden.
Wie Online-Dienste sich vor Credential Stuffing schützen können
Während es in der Verantwortung des Einzelnen liegt, seine Konten zu schützen, gibt es für Online-Dienste zahlreiche Möglichkeiten, sich vor Credential-Stuffing-Angriffen zu schützen.
- Durchsuchen von Datenbanken nach Passwörtern: Unternehmen wie Facebook und Netflix durchsuchen durchgesickerte Datenbanken nach Passwörtern und vergleichen diese mit den Anmeldedaten ihrer Nutzer. Bei Übereinstimmungen können sie den Nutzer auffordern, sein Passwort zu ändern.
- Zwei-Faktor-Authentifizierung anbieten: Nutzer sollten die Möglichkeit haben, die Zwei-Faktor-Authentifizierung zu aktivieren, um ihre Konten besser zu schützen. Sensible Dienste können dies sogar verpflichtend machen. Eine zusätzliche Möglichkeit ist, den Nutzer zu bitten, die Anmeldung über einen Link in einer E-Mail zu bestätigen.
- CAPTCHA-Abfragen: Wenn ein Anmeldeversuch verdächtig erscheint, kann ein Dienst die Eingabe eines CAPTCHA-Codes oder das Durchklicken durch andere Abfragen verlangen, um sicherzustellen, dass es sich um einen menschlichen Nutzer handelt und nicht um einen Bot.
- Beschränkung von Anmeldeversuchen: Dienste sollten Maßnahmen ergreifen, um Bots daran zu hindern, in kurzer Zeit eine große Anzahl von Anmeldeversuchen durchzuführen. Moderne Bots versuchen eventuell, sich von verschiedenen IP-Adressen gleichzeitig anzumelden, um ihre Versuche zu verschleiern.
Schlechte Passwortgewohnheiten – und oft auch schlecht gesicherte Online-Systeme, die leicht zu kompromittieren sind – machen Credential Stuffing zu einer ernsthaften Gefahr für die Sicherheit von Online-Konten. Es ist daher kein Wunder, dass viele Unternehmen aus dem Technologiebereich an einer sichereren Welt ohne Passwörter arbeiten.