Anzeige

Credential Stuffing

Mit automatisiertem Durchprobieren gestohlener Login-Daten kapern Cyberkriminelle jährlich Millionen Nutzer-Accounts. Passwortfreie Authentisierung schiebt dem einen Riegel vor.

Während der Corona-Pandemie hat die Zahl der Cyber-Attacken weiter zugenommen. Zu diesem Ergebnis kommt der vom Bundesinnenministerium gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Bericht zur Lage der IT-Sicherheit in Deutschland 2020. Neben Schadsoftware, die für Ransomware-Angriffe auf Privatpersonen, Unternehmen, Behörden und andere Institutionen genutzt wird, spielt vor allem das sogenannte Credential Stuffing eine immer wichtigere Rolle in den Strategien der Kriminellen. Nevis Security, führender Entwickler von Sicherheitslösungen, gibt einen Überblick und nennt wirksame Gegenmaßnahmen.

Credential Stuffing, also das automatisierte „Durchprobieren“ von Benutzername-Passwort-Kombinationen bei verschiedenen Online-Diensten, hat seit 2019 einen starken Aufschwung erlebt: Ursache sind große Data Breaches etwa bei Marriott, Equifax oder LinkedIn, durch die eine Vielzahl an Login-Daten in die Hände von Kriminellen gelangten. Schwerer wiegt aber, dass rund 61 Prozent der User ihre Passwörter nicht nur einmal vergeben, sondern wiederverwenden. Ein einmal gestohlenes Passwort kann so als „Generalschlüssel“ zu verschiedensten Diensten fungieren.

Welche Goldgräberstimmung unter Cyberkriminellen herrscht, lässt sich auch mit einem Blick auf die Zahl der erfolgreichen Cyberattacken 2020 ermessen. Über 80 Prozent erfolgten mittels gestohlener Login-Daten oder Brute Force; bevorzugtes Angriffsziel waren mit mehr als 90 Prozent Web-Applikationen, so der Verizon Data Breach Investigations Report 2021. Tiefere Technik- oder Programmierkenntnisse müssen die Täter dabei nicht mitbringen: Geleakte Passwortlisten sind teils frei zugänglich oder lassen sich im Darknet käuflich erwerben. Ebenso einfach gestaltet sich der Zugang zu Tools fürs Credential Stuffing.

Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen mithilfe eines rotierenden Proxys, der Hunderttausende von Anmelde-Informationen über mehrere Dienste hinweg ansteuert. Der zeitliche Aufwand liegt selbst für eine groß angelegte Attacke bei nur wenigen Minuten, um mehrere tausend bis zehntausende Accounts zu knacken.

Zwei-Faktor-Authentisierung richtig anwenden

Als wirkungsvolle Gegenmaßnahme für Privatanwender empfiehlt der Bericht des BSI – neben allgemeiner Sorgfalt im Umgang mit den eigenen Daten – eine Zwei-Faktor-Authentisierung, wann immer ein Onlinedienst diese anbietet. Ist diese Sicherheitsmaßnahme aktiv, reicht es nicht mehr aus, nur das Passwort zu kennen; zusätzlich muss der Anwender durch ein Merkmal, über das nur er allein verfügt, seine Identität zweifelsfrei nachweisen. Nutzen lassen sich dafür beispielsweise das SMS-TAN-Verfahren, Hardware-Keys oder verschiedene Authenticator-Apps.

Alle diese Verfahren haben aber gemeinsam, dass sie entweder unsicher sind – so können SMS von Kriminellen mit entsprechenden Softwaretools ohne weiteres abgefangen werden; die Geduld des Nutzers beim Abtippen von Zahlenkolonnen strapazieren oder schlicht nicht zur Hand sind, wenn sie benötigt werden, weil etwa der Hardware-Key im USB-Slot vergessen wurde.

Abhilfe schafft ein Verfahren, das Passwörter vollständig durch eine biometrische Authentisierung ersetzt und sowohl die Benutzerfreundlichkeit als auch die Sicherheit verbessert: die sogenannte passwortfreie Authentisierung. Sie nutzt die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Identifizierung des Nutzers anhand seiner Gesichtszüge oder Fingerabdrücke ermöglichen, ohne dass sensible Daten jemals das Gerät verlassen. Da das Smartphone heute in fast jeder Lebenslage mit dabei ist, kann der Nutzer nahezu überall auf den sicheren Login per Authentisierungs-App zurückgreifen.

„Die passwortfreie Authentisierung dürfte damit entscheidend dazu beitragen, Sicherheitsprobleme wie das Credential Stuffing in den Griff zu bekommen“, so Stephan Schweizer, CEO von Nevis. „Gleichzeitig ist der Login per FaceID oder Fingerabdruck für Nutzer äußerst bequem. Unternehmen, die das Verfahren einsetzen, profitieren von der verbesserten User Experience und der daraus resultierenden stärkeren Kundenbindung.“

www.nevis.net/de
 


Artikel zu diesem Thema

Multi-Faktor-Authentifizierung
Jun 29, 2021

Was passwortlose Multi-Faktor-Authentifizierung Unternehmen bringt

In unserem Alltag nutzen wir eine Menge an digitalen Anwendungen, um zu kommunizieren, zu…
Datendiebstahl
Feb 17, 2021

Vorfälle mit Zugangsdaten seit 2016 verdoppelt

Die Anzahl der jährlichen Vorfälle im Zusammenhang mit Zugangsdaten hat sich von 2016 bis…
Credential Stuffing
Jan 08, 2021

Credential Stuffing: Online-Betrug stoppen

Innerhalb von 24 Monaten beobachtete Akamai im eigenen Kundenstamm 85,4 Mrd. schädliche…

Weitere Artikel

Passwort

Verbraucher sind passwortmüde und wollen mehr digitalen Komfort

Laut einer aktuellen Umfrage haben einfaches Einloggen, Transparenz und der Schutz der persönlichen Daten höchste Priorität bei den Internetnutzern.
Biometrie

Biometrie boomt - Der Körper als Universalschlüssel

Die Verwendung digitalisierter Körpermerkmale zur Identifizierung im Cyberspace sorgt im Vergleich zu anderen digitalen Authentifizierungsmethoden für eine Kombination aus mehr Sicherheit und verbesserter Usability.
PKI

PKI-Automatisierung: Unternehmen setzen wenig Vertrauen in manuelle Prozesse

DigiCert, Inc., Anbieter von TLS/SSL-, IoT- und anderen PKI-Lösungen, veröffentlichte heute die Ergebnisse seiner diesjährigen Umfrage zum aktuellen Stand der PKI-Automatisierung, aus denen hervorgeht, dass die Anzahl der öffentlich und privat…
Identity Security

Sicherheitsrisiko Homeoffice - Identity Security ist essenziell

Wie eine in der letzten Woche erschienene Studie des Kriminologischen Forschungsinstituts Niedersachsen (KFN) zeigt, wirkt sich die aktuelle Pandemie und die vermehrte Nutzung von Remote Work häufig negativ auf die IT-Sicherheit in Unternehmen aus. Ein…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.