Share
Beitragsbild zu Credential Stuffing wirkungsvoll ausbremsen

Credential Stuffing wirkungsvoll ausbremsen

Mit automatisiertem Durchprobieren gestohlener Login-Daten kapern Cyberkriminelle jährlich Millionen Nutzer-Accounts. Passwortfreie Authentisierung schiebt dem einen Riegel vor.

Während der Corona-Pandemie hat die Zahl der Cyber-Attacken weiter zugenommen. Zu diesem Ergebnis kommt der vom Bundesinnenministerium gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Bericht zur Lage der IT-Sicherheit in Deutschland 2020. Neben Schadsoftware, die für Ransomware-Angriffe auf Privatpersonen, Unternehmen, Behörden und andere Institutionen genutzt wird, spielt vor allem das sogenannte Credential Stuffing eine immer wichtigere Rolle in den Strategien der Kriminellen.. Nevis Security, führender Entwickler von Sicherheitslösungen, gibt einen Überblick und nennt wirksame Gegenmaßnahmen.

Credential Stuffing, also das automatisierte „Durchprobieren“ von Benutzername-Passwort-Kombinationen bei verschiedenen Online-Diensten, hat seit 2019 einen starken Aufschwung erlebt: Ursache sind große Data Breaches etwa bei Marriott, Equifax oder LinkedIn, durch die eine Vielzahl an Login-Daten in die Hände von Kriminellen gelangten. Schwerer wiegt aber, dass rund 61 Prozent der User ihre Passwörter nicht nur einmal vergeben, sondern wiederverwenden. Ein einmal gestohlenes Passwort kann so als „Generalschlüssel“ zu verschiedensten Diensten fungieren.

Welche Goldgräberstimmung unter Cyberkriminellen herrscht, lässt sich auch mit einem Blick auf die Zahl der erfolgreichen Cyberattacken 2020 ermessen. Über 80 Prozent erfolgten mittels gestohlener Login-Daten oder Brute Force; bevorzugtes Angriffsziel waren mit mehr als 90 Prozent Web-Applikationen, so der Verizon Data Breach Investigations Report 2021. Tiefere Technik- oder Programmierkenntnisse müssen die Täter dabei nicht mitbringen: Geleakte Passwortlisten sind teils frei zugänglich oder lassen sich im Darknet käuflich erwerben. Ebenso einfach gestaltet sich der Zugang zu Tools fürs Credential Stuffing.

Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen mithilfe eines rotierenden Proxys, der Hunderttausende von Anmelde-Informationen über mehrere Dienste hinweg ansteuert. Der zeitliche Aufwand liegt selbst für eine groß angelegte Attacke bei nur wenigen Minuten, um mehrere tausend bis zehntausende Accounts zu knacken.

Zwei-Faktor-Authentisierung richtig anwenden

Als wirkungsvolle Gegenmaßnahme für Privatanwender empfiehlt der Bericht des BSI – neben allgemeiner Sorgfalt im Umgang mit den eigenen Daten – eine Zwei-Faktor-Authentisierung, wann immer ein Onlinedienst diese anbietet. Ist diese Sicherheitsmaßnahme aktiv, reicht es nicht mehr aus, nur das Passwort zu kennen; zusätzlich muss der Anwender durch ein Merkmal, über das nur er allein verfügt, seine Identität zweifelsfrei nachweisen. Nutzen lassen sich dafür beispielsweise das SMS-TAN-Verfahren, Hardware-Keys oder verschiedene Authenticator-Apps.

Alle diese Verfahren haben aber gemeinsam, dass sie entweder unsicher sind – so können SMS von Kriminellen mit entsprechenden Softwaretools ohne weiteres abgefangen werden; die Geduld des Nutzers beim Abtippen von Zahlenkolonnen strapazieren oder schlicht nicht zur Hand sind, wenn sie benötigt werden, weil etwa der Hardware-Key im USB-Slot vergessen wurde.

Abhilfe schafft ein Verfahren, das Passwörter vollständig durch eine biometrische Authentisierung ersetzt und sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessert: die sogenannte passwortfreie Authentisierung. Sie nutzt die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Identifizierung des Nutzers anhand seiner Gesichtszüge oder Fingerabdrücke ermöglichen, ohne dass sensible Daten jemals das Gerät verlassen. Da das Smartphone heute in fast jeder Lebenslage mit dabei ist, kann der Nutzer nahezu überall auf den sicheren Login per Authentisierungs-App zurückgreifen.

„Die passwortfreie Authentisierung dürfte damit entscheidend dazu beitragen, Sicherheitsprobleme wie das Credential Stuffing in den Griff zu bekommen“, so Stephan Schweizer, CEO von Nevis. „Gleichzeitig ist der Login per FaceID oder Fingerabdruck für Nutzer äußerst bequem. Unternehmen, die das Verfahren einsetzen, profitieren von der verbesserten User Experience und der daraus resultierenden stärkeren Kundenbindung.“

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Sind alle Konvergenzen gleich?”

Sind alle Konvergenzen gleich?

Featured image for “Erhöhte Cloud-Sicherheit mit Saviynt und AWS IAM Access Analyzer”

Erhöhte Cloud-Sicherheit mit Saviynt und AWS IAM Access Analyzer

Featured image for “Ja, es gibt sie!! Eine Lösung zur Abwehr von Ransomware!”

Ja, es gibt sie!! Eine Lösung zur Abwehr von Ransomware!

Featured image for “So sichern Unternehmen ihre MFA-Workflows gegen die neuesten Cyberangriffe”

So sichern Unternehmen ihre MFA-Workflows gegen die neuesten Cyberangriffe

Featured image for “Eine Festung im Datenmeer: Cloud-Immutabilität als Schild gegen Ransomware-Bedrohungen”

Eine Festung im Datenmeer: Cloud-Immutabilität als Schild gegen Ransomware-Bedrohungen

Studien

Featured image for “Studie von BlueVoyant zeigt: Cyberangriffe auf die Lieferkette wirken sich weiterhin negativ auf Unternehmen weltweit aus”

Studie von BlueVoyant zeigt: Cyberangriffe auf die Lieferkette wirken sich weiterhin negativ auf Unternehmen weltweit aus

Featured image for “Deutschland weltweit einziges Land mit schrumpfender Cyber-Belegschaft bei wachsendem Personalbedarf”

Deutschland weltweit einziges Land mit schrumpfender Cyber-Belegschaft bei wachsendem Personalbedarf

Featured image for “Neue Trellix-Studie deckt auf: 63 Prozent der weltweiten CISOs nach Cyber-Attacke erneut betroffen”

Neue Trellix-Studie deckt auf: 63 Prozent der weltweiten CISOs nach Cyber-Attacke erneut betroffen

Featured image for “Studie: Fehlende Rechtssicherheit für Big Data und KI”

Studie: Fehlende Rechtssicherheit für Big Data und KI

Featured image for “Accenture-Umfrage: CEOs sehen ihre Unternehmen nicht gewappnet gegen Cyberangriffe”

Accenture-Umfrage: CEOs sehen ihre Unternehmen nicht gewappnet gegen Cyberangriffe

Whitepaper

Featured image for “Red Sift-Bericht deckt den weltweiten Stand der Cyber-Resilienz auf”

Red Sift-Bericht deckt den weltweiten Stand der Cyber-Resilienz auf

Featured image for “97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken”

97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken

Featured image for “Trellix stellt Kooperation von Cyber-Kriminellen und staatlichen Akteuren fest”

Trellix stellt Kooperation von Cyber-Kriminellen und staatlichen Akteuren fest

Featured image for “Unternehmensidentität für das Cloud-Zeitalter”

Unternehmensidentität für das Cloud-Zeitalter

Featured image for “Forrester Report 2024: Daten & Analysen”

Forrester Report 2024: Daten & Analysen

Unter4Ohren

Featured image for “Bei KI mitreden können”

Bei KI mitreden können

Featured image for “Ja, es gibt sie!! Eine Lösung zur Abwehr von Ransomware!”

Ja, es gibt sie!! Eine Lösung zur Abwehr von Ransomware!

Featured image for “Unified-Endpoint Management und Mobile Threat Defense – die perfekte Ergänzung”

Unified-Endpoint Management und Mobile Threat Defense – die perfekte Ergänzung

Featured image for “Wie macht man SAP-Entwickler glücklich?”

Wie macht man SAP-Entwickler glücklich?

Featured image for “EZB Cyber Resilience Stress Test 2024: Wie resilient ist das europäische Bankensystem?”

EZB Cyber Resilience Stress Test 2024: Wie resilient ist das europäische Bankensystem?