Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Credential Stuffing: Definition, Techniken und Verteidigung 

Aktualisiert: 01. September 2024 Lesezeit: ~

Topics

Cybersecurity, Secure Access, Security

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Credential Stuffing ist eine beliebte Art von Cyberangriffen. Es handelt sich um die automatisierte Injektion von kompromittierten Kombinationen aus Benutzername und Passwort, um sich in betrügerischer Absicht Zugang zum Benutzerkonto zu verschaffen.

Hacker wollen auf Ihre Server zugreifen. Sie möchten sie fernhalten. Sie verwenden ein ausgeklügeltes Passwortverfahren, das unter anderem die Anforderung häufiger Änderungen der Anmeldedaten beinhaltet. Es scheint ein narrensicheres System zu sein, aber es hat einen großen Fehler. 

Wenn Menschen Passwörter wiederverwenden (und das tun viele von uns), könnten Sie einem verheerenden Angriff ausgesetzt sein. 

Mehr als 15 Milliarden gestohlene Anmeldedaten sind heute auf Schwarzmärkten erhältlich. Oft müssen Hacker nicht einmal für die Waffen bezahlen, die sie gegen Sie einsetzen können. Mit dieser Datenbank könnten sie die Namen/Passwörter eines Ihrer Mitarbeiter haben. Mit ein wenig Hacking könnten sie Ihre Schwachstelle erkennen und die Kontrolle übernehmen. 

Credential-Stuffing-Angriffe sind verheerend. Aber sie können verhindert werden.

 

Credential Stuffing Angriffe

 

So funktioniert ein Credential Stuffing -Angriff 

Beim Credential Stuffing handelt es sich um gestohlene Benutzernamen oder Passwörter. Ein Hacker steckt die Daten in einen Bot und startet einen Angriff, um festzustellen, ob dieselbe Kombination andere Server öffnet. 

Jeder Angriff ist anders, aber die meisten folgen diesem Schritt-für-Schritt-Plan:

  1. Erkennung: Ein Hacker findet einen Cache mit Benutzername/Passwort-Kombinationen, die über einen anderen Angriff offengelegt wurden.
  2. Modellierung: Der Hacker führt einige Tests durch, um zu sehen, ob diese Kombinationen auf anderen Websites funktionieren.
  3. Großflächige Arbeiten: Der Hacker verwendet Tools, um einen Angriff auf einen Server zu starten. Alle gestohlenen Teile kommen als eine Flut von Anmeldeversuchen herein. Wenn auch nur einer funktioniert, hat der Hacker Zugriff.
  4. Diebstahl: Der Hacker sucht nach irgendetwas Wertvollem innerhalb des Kontos, wie z. B. Kreditkartennummern, Sozialversicherungsnummern und andere Anmeldedaten.
  5. Lösegeld: Der Hacker weist das Unternehmen auf den Diebstahl hin und bittet um einen finanziellen Grund, um den Zugang zurückzugeben. 

Credential Stuffing ist eine Form von Brute-Force-Angriffen. Hacker haben möglicherweise nur eine oder zwei Name/Passwort-Kombinationen, die funktionieren. Aber alle sind auf den Server gerichtet. 

Können Sie Credential Stuffing verhindern?

Kein Unternehmen möchte, dass Daten offengelegt werden. Um Credential Stuffing-Angriffe zu verhindern, müssen Sie jedoch sowohl Programmierer als auch Mitglieder um Hilfe bitten. Sie müssen partnerschaftlich zusammenarbeiten, um sicherzustellen, dass Hacker nicht in den Server des Unternehmens eindringen. 

Mitarbeiter, Benutzer und andere Personen mit Server-Passwörtern müssen:

  • Erstellen Sie einzigartige Passwörter. Die einmalige Wiederverwendung von Informationen bedeutet, dass Ihre Server einem Risiko ausgesetzt sind. Es ist schwierig, sich Dutzende von eindeutigen Anmeldedaten zu merken, aber ein Passwortmanager kann Ihnen helfen, die Daten sowohl zu erstellen als auch zu speichern, um die Nutzung zu erleichtern.
  • Passwort oft ändern. Wechseln Sie die Passwörter häufig und ändern Sie sie sinnvoll. Verschieben Sie beispielsweise keinen Buchstaben oder keine Zahl. Ändern Sie die gesamte Anmeldung.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung. Erhalten Sie eine Benachrichtigung auf Ihrem Telefon oder einem anderen verbundenen Gerät, wenn Sie versuchen, sich anzumelden. Dieser eine kleine Schritt kann Hacker fernhalten, und Sie könnten feststellen, dass viele Leute versuchen, Ihre Daten zu verwenden. 

Auf Enterprise-Ebene können Unternehmen:

  • Erziehen. Erklären Sie Ihrem Benutzer, warum gute Passwort-Praktiken so wichtig sind, und entwickeln Sie Richtlinien, die erklären, was sie zum Schutz von Daten tun können.
  • Versuche beobachten. Behalten Sie die Anmeldeversuche genau im Auge. Ein Anstieg könnte darauf hindeuten, dass Ihr Unternehmen angegriffen wird.
  • Erstellen Sie benutzerdefiniert Lösungen. Sie könnten Captcha oder eine andere Anmeldehürde verwenden, um den Bot zu besiegen. Einige Experten meinen jedoch, dass die besten Präventionsinstrumente von Grund auf neu entwickelt werden.

    Ein Hacker kann Tools entwickeln, um gängige Firewalls zu umgehen. Wenn Ihr Computer neu und einzigartig ist, kann es sein, dass ein Hacker sich einfach dazu entscheidet, weiterzugehen, anstatt Zeit darauf zu verwenden, ihn zu besiegen. 

Diese Schritte beseitigen möglicherweise nicht das Risiko einer Datenschutzverletzung. Aber Sie könnten Ihren Server zu einem weniger attraktiven Ziel für einen Hacker machen. Das könnte Ihrem Unternehmen viel Kummer ersparen.

Wie schwerwiegend ist ein Angriff?

Laut der Securities and Exchange Commission nehmen Credential-Stuffing-Angriffe zu. Schuld daran sind große Listen, darunter die Pemiblanc-Liste mit mehr als 111 Millionen Datensätzen. Angesichts der großen Menge an verfügbaren Benutzernamen-/Passwortdaten können Hacker offenbar nicht widerstehen. 

Eines der größten Beispiele für Credential Stuffing stammt aus dem Mai 2014. Hacker verschafften sich Zugriff auf die Anmeldedaten von drei eBay-Mitarbeitern und nutzten diese, um sich Zugang zum Netzwerk und zur Datenbank zu verschaffen. Hacker behielten diesen Zugang satte 229 Tage lang. 

Im Jahr 2014 erlitt JPMorgan Chase einen ähnlichen Angriff, aber die Beamten hatten keine Ahnung, dass die IT passierte. Ein Auftragnehmer entdeckte die Sicherheitsverletzung zusammen mit einem Cache mit einer Milliarde gestohlener Benutzernamen und Passwörter. 

Es kann Jahre dauern, bis sich die IT-Abteilung von einer solchen Sicherheitsverletzung erholt hat, und einige Ihrer Kunden werden Ihnen Ihre Vertrauensverletzung möglicherweise nie ganz verzeihen. Wenn es um IT-Hacking geht, ist Prävention die beste Richtlinie.

Holen Sie sich Hilfe von Okta

Erfahren Sie, wie Okta die Anmeldedaten Ihres Unternehmens schützen und Angriffe wie Credential Stuffing verhindern können. Wir würden Sie gerne durch Ihre Prozesse führen und Ihnen helfen, ein funktionierendes Sicherheitssystem zu entwickeln.

Referenzen

Die Forscher von Digital Shadows sagen, dass über 15 Milliarden gestohlene Passwörter im Dark Web im Umlauf sind. (Juli 2020). CPO Magazin. 

Das "Zeug" aus dem Credential Stuffing nehmen. (Juli 2020). MarTech heute. 

10 Tipps, um Credential Stuffing-Angriffe zu stoppen. (Februar 2019). Mittel. 

Cybersicherheit: Schutz Client Kontos vor Anmeldedaten kompromittieren. (September 2020). U.S. Securities and Exchange Commission. 

Credential Stuffing-Liste mit 111 Millionen online gefundenen Datensätzen. (Juli 2018). Stolperdraht.

Top 10 Data Breaches des Jahres 2020. (Dezember 2020). Security Magazin.

Wie besorgt muss ich sein, dass mein Passwort kompromittieren oder in einem Data Breachgestohlen wird? Experten sagen das. (Dezember 2020). Forbes.

Es wird erwartet, dass der globale Markt für Data Breach Benachrichtigungssoftware im Zeitraum 2020-2024 um 725,41 Mio. USD wachsen und im Prognosezeitraum mit einer CAGR von 17 % voranschreiten wird. (Dezember 2020). Yahoo! Finanzieren. 

Die 15 größten Data Breaches des 21. Jahrhunderts. (April 2020). CSO. 

Glück spielte eine Rolle bei der Entdeckung des Millionen betreffenden Data Breach bei JPMorgan. (Oktober 2014). Die New York Times. 

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt