Insgesamt sind es 500 Millionen Zoom-Konten im Dark Web zu verkaufen dank „Credential Stuffing“. Es ist eine gängige Methode für Kriminelle, online in Konten einzubrechen. Hier erfahren Sie, was dieser Begriff tatsächlich bedeutet und wie Sie sich schützen können.
Inhaltsverzeichnis
Es beginnt mit durchgesickerten Passwortdatenbanken
Angriffe auf Online-Dienste sind weit verbreitet. Kriminelle nutzen häufig Sicherheitslücken in Systemen aus, um an Datenbanken mit Benutzernamen und Passwörtern zu gelangen. Datenbanken mit gestohlenen Zugangsdaten werden oft online im Darknet verkauft, wobei Kriminelle mit Bitcoin für das Privileg bezahlen, auf die Datenbank zuzugreifen.
Angenommen, Sie hatten ein Konto im Avast-Forum, das war bereits 2014 durchbrochen. Dieses Konto wurde verletzt und Kriminelle haben möglicherweise Ihren Benutzernamen und Ihr Passwort im Avast-Forum. Avast hat sich mit Ihnen in Verbindung gesetzt und Sie aufgefordert, Ihr Forumskennwort zu ändern. Worin liegt das Problem?
Leider besteht das Problem darin, dass viele Leute dieselben Passwörter auf verschiedenen Websites wiederverwenden. Angenommen, Ihre Anmeldedaten für das Avast-Forum waren „[email protected]“ und „AmazingPassword“. Wenn Sie sich mit demselben Benutzernamen (Ihrer E-Mail-Adresse) und demselben Passwort bei anderen Websites angemeldet haben, kann jeder Kriminelle, der Ihre durchgesickerten Passwörter erwirbt, auf diese anderen Konten zugreifen.
Credential Stuffing in Aktion
Beim „Credential Stuffing“ werden diese Datenbanken mit durchgesickerten Zugangsdaten verwendet und versucht, sich mit ihnen bei anderen Online-Diensten anzumelden.
Kriminelle nehmen große Datenbanken mit durchgesickerten Benutzernamen- und Passwortkombinationen – oft Millionen von Anmeldeinformationen – und versuchen, sich damit auf anderen Websites anzumelden. Manche Leute verwenden dasselbe Passwort auf mehreren Websites wieder, sodass einige übereinstimmen. Dies kann im Allgemeinen mit Software automatisiert werden, indem viele Login-Kombinationen schnell ausprobiert werden.
Für etwas so Gefährliches, das sich so technisch anhört, ist das alles – das Ausprobieren bereits durchgesickerter Zugangsdaten für andere Dienste und das Sehen, was funktioniert. Mit anderen Worten, „Hacker“ stopfen all diese Anmeldeinformationen in das Anmeldeformular und sehen, was passiert. Einige von ihnen werden sicher funktionieren.
Dies ist eine der häufigsten Methoden, mit denen Angreifer heutzutage Online-Konten „hacken“. Allein im Jahr 2018 hat das Content Delivery Network Akamai fast 30 Milliarden Credential-Stuffing-Angriffe protokolliert.
So schützen Sie sich
Der Schutz vor Credential Stuffing ist ziemlich einfach und erfordert die Einhaltung der gleichen Passwortsicherheitspraktiken, die Sicherheitsexperten seit Jahren empfehlen. Es gibt keine magische Lösung – nur eine gute Passworthygiene. Hier ist der Rat:
Vermeiden Sie die Wiederverwendung von Passwörtern: Verwenden Sie für jedes Konto, das Sie online verwenden, ein eindeutiges Passwort. Auf diese Weise kann Ihr Passwort selbst dann nicht verwendet werden, um sich bei anderen Websites anzumelden, selbst wenn es durchsickert. Angreifer können versuchen, Ihre Anmeldeinformationen in andere Anmeldeformulare zu stopfen, aber sie funktionieren nicht.
Verwenden Sie einen Passwort-Manager: Es ist eine fast unmögliche Aufgabe, sich starke eindeutige Passwörter zu merken, wenn Sie Konten auf mehreren Websites haben, und das tut fast jeder. Wir empfehlen die Verwendung eines Passwortmanagers wie 1Passwort (bezahlt) oder Bitwächter (kostenlos und Open Source), um sich Ihre Passwörter für Sie zu merken. Es kann sogar diese starken Passwörter von Grund auf neu generieren.
Aktivieren Sie die Zwei-Faktor-Authentifizierung: Bei der zweistufigen Authentifizierung müssen Sie jedes Mal, wenn Sie sich auf einer Website anmelden, etwas anderes angeben – beispielsweise einen Code, der von einer App generiert oder per SMS an Sie gesendet wird. Selbst wenn ein Angreifer Ihren Benutzernamen und Ihr Kennwort kennt, kann er sich ohne diesen Code nicht bei Ihrem Konto anmelden.
Erhalten Sie Benachrichtigungen zu durchgesickerten Passwörtern: Mit einem Dienst wie Wurde ich gepwned?, können Sie eine Benachrichtigung erhalten, wenn Ihre Anmeldeinformationen in einem Leck erscheinen.
Wie Dienste vor Credential Stuffing schützen können
Während Einzelpersonen die Verantwortung für die Sicherung ihrer Konten übernehmen müssen, gibt es für Online-Dienste viele Möglichkeiten, sich vor Angriffen mit Credential-Stuffing zu schützen.
Durchgesickerte Datenbanken nach Benutzerpasswörtern durchsuchen: Facebook und Netflix habe gescannt durchgesickerte Datenbanken für Passwörter und vergleicht sie mit den Anmeldeinformationen in ihren eigenen Diensten. Bei einer Übereinstimmung können Facebook oder Netflix den eigenen Benutzer auffordern, sein Passwort zu ändern. Dies ist eine Möglichkeit, Anmeldeinformationen zu schlagen.
Zwei-Faktor-Authentifizierung anbieten: Benutzer sollten in der Lage sein, die Zwei-Faktor-Authentifizierung zu aktivieren, um ihre Online-Konten zu schützen. Besonders sensible Dienste können dies zwingend vorschreiben. Sie können einen Benutzer auch bitten, in einer E-Mail auf einen Link zur Anmeldebestätigung zu klicken, um die Anmeldeanforderung zu bestätigen.
CAPTCHA anfordern: Wenn ein Anmeldeversuch seltsam aussieht, kann ein Dienst die Eingabe eines in einem Bild angezeigten CAPTCHA-Codes oder das Klicken durch ein anderes Formular verlangen, um zu bestätigen, dass ein Mensch – und kein Bot – versucht, sich anzumelden.
Beschränken Sie wiederholte Anmeldeversuche: Dienste sollten versuchen, Bots daran zu hindern, in kurzer Zeit eine große Anzahl von Anmeldeversuchen durchzuführen. Moderne ausgeklügelte Bots versuchen möglicherweise, sich von mehreren IP-Adressen gleichzeitig anzumelden, um ihre Versuche zum Füllen von Anmeldeinformationen zu verschleiern.
Schlechte Passwortpraktiken – und, um fair zu sein, schlecht gesicherte Online-Systeme, die oft zu leicht zu kompromittieren sind – machen Credential Stuffing zu einer ernsthaften Gefahr für die Sicherheit von Online-Konten. Kein Wunder, dass viele Unternehmen der Technologiebranche eine sicherere Welt ohne Passwörter aufbauen möchten.