Credential Stuffing
Credential Stuffing ist ein automatisierter Angriff, bei dem Angreifer gestohlene Benutzername-Passwort-Kombinationen aus Datenlecks auf anderen Diensten ausprobieren - ausgenutzt wird die Gewohnheit, dasselbe Passwort mehrfach zu verwenden.
Credential Stuffing nutzt einen einfachen menschlichen Fehler: Die Wiederverwendung von Passwörtern. Wenn ein Datenleck bei Service A die Kombination nutzer@firma.de : Passwort123 enthüllt, probieren Angreifer diese Kombination automatisiert bei hunderten anderen Diensten (E-Mail, Banking, Office 365, VPN) aus.
Unterschied zu Brute Force
| Credential Stuffing | Brute Force | |
|---|---|---|
| Eingangsdaten | Echte gestohlene Credentials | Zufällig generierte Kombinationen |
| Erfolgsquote | 0,1-2% | <0,001% |
| Erkennung | Schwieriger (echte Credentials) | Einfacher (viele Fehlversuche) |
Ausmaß des Problems
Nach dem Haveibeenpwned-Datenbestand von Troy Hunt sind über 14 Milliarden eindeutige Credential-Paare in Umlauf. Spezialisierte Underground-Marktplätze verkaufen aktuelle Combilists für wenige Dollar.
Schutzmaßnahmen
Für Benutzer:
- Einzigartiges Passwort für jeden Dienst (Passwort-Manager!)
- MFA aktivieren - Credential Stuffing scheitert an einem zweiten Faktor
Für Unternehmen:
- MFA verpflichtend für alle Mitarbeiterkonten
- Monitoring auf ungewöhnliche Login-Muster (viele Logins aus neuen IPs, Rate Limiting)
- HIBP Enterprise API für regelmäßige Prüfung kompromittierter Unternehmens-E-Mails
- Passwortsperrlisten: Bekannte gestohlene Passwörter beim Setzen blockieren
