Dieser Beitrag ist auch verfügbar auf: Englisch, Französisch, Portugiesisch (Brasilien)

Was steckt hinter dem Begriff „Credential Stuffing“?

Dieser Beitrag ist auch verfügbar auf: Englisch, Französisch, Portugiesisch (Brasilien)
Keys

Einer der wichtigsten Schritte für eine gesteigerte Online-Sicherheit liegt im Durchbrechen der alten Gewohnheit, ein und dasselbe Passwort für alle Websites und Apps, die Sie verwenden, zu nutzen. Wenn ein Krimineller Zugriff auf dieses eine Passwort erhält, könnte er problemlos auf jedes einzelne Ihrer Konten zugreifen. Und doch haben wir alle die Angewohnheit, immer das gleiche Passwort zu verwenden. Dieses „wir“ schließt übrigens nicht nur mich sondern auch Katy Perry und Drake mit ein – um nur einige ‚Gewohnheitstäter‘ zu nennen … Schauen wir uns beispielsweise die in diesem Frühling stattgefundenen Datenschutzverletzungen bei Zoom an. Die Plattform selbst wurde gar nicht gehackt. Allerdings fielen die Konten auf der Plattform Credential Stuffing zum Opfer: Hacker bedienten sich einer Reihe zuvor gestohlener Zugangsdaten, um sich Zugriff auf zahlreiche Zoom-Konten zu verschaffen.

Doch wie kommen Hacker überhaupt an Passwörter und wie werden diese Passwörter dann in „Credential Stuffing“-Angriffen eingesetzt? Mehr dazu erfahren Sie weiter unten.

5 Möglichkeiten des Passwortdiebstahls durch Hacker

  1. Der Raub einer Datenbank, die Ihre Anmeldedaten enthält – Dies ist bislang eine der größten Quellen für gestohlene Anmeldedaten.
  2. Phishing- und Social-Engineering-Angriffe – Bei diesem Verfahren sendet der Hacker eine Phishing-E-Mail, um Ihre Kontoinformationen zu stehlen oder Sie dazu zu bringen, auf einen schadhaften Link zu klicken, über den Sie Ihre Zugangsdaten dann auf einer falschen Website eingeben sollen.
  3. Keylogger, Browser Injectors und andere Malware – Hacker können versuchen, Benutzer zum Herunterladen von Malware (bösartige Softwareprogramme) zu bewegen, um auf diese Weise Anmeldedaten, Zahlungsinformationen und weitere Daten, einschließlich persönlicher Daten, zu erfassen.
  4. Passwort-Angriffe – Passwort-Angriffe, wie ein Brute-Force-Angriff, verwenden automatisierte Softwareprogramme, die darauf ausgerichtet sind, Ihr Passwort zu knacken oder zu erraten. 
  5. WLAN-Überwachung – Melden Sie sich niemals bei einem Konto an, wenn Sie mit einem öffentlichen oder unsicheren WLAN-Netzwerk verbunden sind und keinen Schutz durch eine Software wie z. B. ein VPN haben. Hacker verwenden oftmals einfach verfügbare Netzwerküberwachungstools, um Ihre Anmeldedaten und andere Daten abzufangen.

Verabschieden Sie sich noch heute von wiederverwendeten, schwachen Passwörtern und laden Sie Dashlane kostenlos herunter.

Vergessen Sie dabei nicht Ihre Arbeitskonten! Schützen Sie Ihre privaten und beruflichen Passwörter mithilfe von Dashlane. 30 Tage kostenlos testen,

So werden „Credential Stuffing“-Angriffe eingesetzt, um an wiederverwendete Passwörter zu gelangen

Bei „Credential Stuffing“-Angriffen wird zunächst eine anzugreifende Website ausgewählt. Diese wird dann genauestens auf ihre Anmeldesequenzen und -verfahren untersucht. Daraufhin kann ein Hacker entweder ein automatisiertes Skript erstellen oder konfigurierbare „Credential Stuffing“-Software einsetzen, um systematisch zu testen, ob die gestohlenen Anmeldedaten eine erfolgreiche Anmeldung bei der anzugreifenden Website ermöglichen. Um ihre Aktivitäten zu verschleiern, mieten Hacker üblicherweise Botnets – Netzwerke von Computern, die von Hackern unter Verwendung von Malware kontrolliert werden – oder eine Liste von Proxy-IP-Adressen. Auf diese Weise wird der Eindruck erweckt, die Anmeldeversuche kämen von echten Benutzern auf verschiedenen Computern. Irgendwann werden die Hacker auf einigen Websites mit einigen Zugangsdaten Erfolg haben. Dann können sie diese Konten übernehmen und die jeweiligen Vermögenswerte ungehindert stehlen.

Auch wenn der Vorgang in der Theorie kompliziert klingen mag, ist es für Hacker ein Leichtes, innerhalb weniger Stunden einen Angriff zu starten.

Wie schützen Sie Ihre Konten bestmöglich vor Hackern, die Credential Stuffing einsetzen?

Den besten Schritt, den Sie zum Schutz Ihrer Konten und Daten vor „Credential Stuffing“-Angriffen gehen können, besteht schlichtweg darin, sofort die Wiederverwendung derselben Passwörter für mehrere Konten einzustellen. Alle Ihre Konten – doch insbesondere Konten, die im Zusammenhang mit Einkäufen, Finanzdienstleistungen, Reisen und Regierungsangelegenheiten verwendet werden – sollten unbedingt mit sicheren, einzigartigen Passwörtern geschützt werden. Ein sicheres Passwort sollte eine Mindestlänge von 8 Zeichen haben und aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Im Folgenden finden Sie einige zusätzliche Tipps dazu, wie Sie das Wiederverwenden von Passwörtern ein für allemal einstellen können:

  • Verwenden Sie einen Passwort-Manager – Falls es Ihnen Schwierigkeiten bereitet, lange komplizierte Passwörter zu erstellen und zu verwalten, können Sie stets auf einen Passwort-Manager wie Dashlane zurückgreifen. Dashlane enthält einen integrierten Passwortgenerator, der sichere Passwörter für neue Konten erstellt. Zudem bietet das Programm Sicherheitswarnungen, mit denen Sie sofort nach einer Datenschutzverletzung benachrichtigt und dazu aufgefordert werden, Ihre Passwörter zu ändern.
  • Aktivieren Sie eine Zwei-Faktor-Authentifizierung – Aktivieren Sie die Zwei-Faktor-Authentifizierung auf all Ihren Online-Konten. Dies gilt besonders für Websites und Anwendungen, die oft zum Ziel von Hackerangriffen werden, wie Ihre Social-Media- und Online-Banking-Konten.
    Dashlane

    Dashlane bietet allen Internetnutzern eine einfache Möglichkeit, sich schnell und sicher durchs Netz zu bewegen. Generieren Sie sichere, zufällige Passwörter für jedes Konto, und füllen Sie persönliche Daten, sowie Anmeldungs-, und Zahlungsinformationen sofort automatisch aus – ohne die Sicherheit Ihrer Daten zu gefährden. Dashlane funktioniert geräteübergreifend auf allen gängigen Betriebssystemen und Browsern und macht es sicherer und einfacher das Internet zu navigieren – egal ob Sie zu Hause, bei der Arbeit oder unterwegs sind.

    Zum Artikel
    Dies könnte Ihnen auch gefallen
    Sie sollten sich einen Passwort-Manager zulegen

    Die Erstellung einzigartiger Passwörter sorgt dafür, dass im Falle einer Verletzung eines Ihrer Konten keine anderen Konten betroffen sind. Das menschliche Gehirn ist jedoch nicht...

    Sie glauben, Ihre persönlichen Daten wurden gestohlen? Das sollten Sie jetzt tun.

    Zeit ist Geld: Je schneller Sie handeln, desto besser. Nachdem Sie eine Warnung zu einer Datenschutzverletzung erhalten haben, befolgen Sie umgehend diese nächsten Schritte.

    Wie sicher ist der Inkognito-Modus/privates Surfen wirklich?

    Viele Benutzer gehen irrtümlicherweise davon aus, der Inkognito-Modus sei eine Art Deckmantel, der die eigene Internetaktivität gänzlich vor der Welt zu verbergen vermag. Es tut...