Credential Stuffing und Password Spraying: Sicherheitstipps für Service-Betreiber und User

11. Januar, 2023

Credential Stuffing ist eine recht simple Form einer Cyber-Attacke, bei der erbeutete Benutzerinformationen eines Dienstes dazu verwendet werden, Zugang zu anderen Diensten zu erhalten. Im Unterschied zu Brute Force Attacken arbeiten die Angreifenden also mit existierenden, gestohlenen Benutzerinformationen anstelle Passwörter (automatisiert) zu raten. Wird ein schwaches Passwort („password“, „123456“, „qwerty“) ohne konkretes Ziel gegen viele unterschiedliche Benutzernamen getestet, spricht man von Password Spraying.

Ziele und Motive hinter Credential Stuffing und Passwort Spraying

Cyber-Kriminellen können mit hochautomatisierten Tools ohne viel Aufwand Unmengen an Benutzernamen und Passwörtern auf vielen verschiedenen Webseiten und Anwendungen ausprobieren. Die verwendeten Login-Daten stammen beispielsweise aus Datenbanken, die im Darknet erworben wurden, oder aus Sammlungen aus Datenlecks, Phishing oder anderen Sicherheitsvorfällen. Auch wenn die prozentuelle Trefferquote gering ist, lohnt sich der Einsatz: Es sind Datenbanken mit bis zu mehreren hundert Millionen Einträgen verfügbar.

Erfolgreich ist Credential Stuffing nur dann, wenn dieselben Anmeldeinformationen bei mehreren verschiedenen Services aktiv sind. Für Password Spraying-Angriffe reicht es bereits, ein Passwort zu nutzen, das schon einmal auf einer Leak-Liste aufgetaucht ist.

Ziel dieser Angriffe ist es, Zugang zu unterschiedlichen Diensten zu erlangen. Bank-Accounts werden für finanziellen Profit oder Identitätsdiebstahl missbraucht. E-Mail-Konten können für weiterführende Angriffe oder Account-Übernahmen genutzt werden. Beliebt ist auch der Einkauf in Onlineshops auf falschen Namen und Rechnung. Neben Ärger, zeitlichem Aufwand und finanziellen Verlusten kann es zu Reputationsschäden für Personen oder Unternehmen kommen.

Wie kann Credential Stuffing und Password Spraying verhindert werden?

Um Credential-Stuffing- und Password-Spraying-Attacken durchzuführen, nutzen die Angreifenden Tools und Scripte, die automatisiert Hunderte oder Tausende von Login-Versuchen pro Minute durchführen können. Um eine Erkennung zu erschweren, werden die Zugriffsversuche immer besser verschleiert und als legitime Anfragen getarnt. Es gibt jedoch verschiedene Sicherheitsmaßnahmen, die – idealerweise im Kombination – die Sicherheit erhöhen können.

Sicherheitstipps für Online-Services:

  • Zwei- oder Multifaktor-Authentifizierung anzubieten ist eine der einfachsten und besten Varianten, um Password Spraying und Credential Stuffing zu verhindern. Wenn der dauerhafte Einsatz nicht möglich ist, kann die Anwendung gegebenenfalls auf bestimmte Szenarien wie Anmeldung aus einem neuen oder ungewöhnlichen Ort, einem neuen Gerät bzw. Browser oder bei verdächtigem Login-Verhalten begrenzt werden. (Weniger sichere) Alternativen können zusätzliche PINs oder Sicherheitsfragen sein.
  • Ratenbegrenzung zielt darauf ab, Credential Stuffing und Password Spraying durch Zeitverzögerung oder eine begrenzte Anzahl an Login-Versuchen zu verhindern. Moderne Angriffstechniken passen sich jedoch an diese Taktiken an, indem beispielsweise Zahl und Tempo der Versuche reduziert werden oder verschiedene IP-Adressen und Geräte simuliert werden. Dynamische Ratenbegrenzungen, die auf dem tatsächlichen Userverhalten basieren, können hier Abhilfe schaffen.
  • Sichere Passwörter forcieren: Manche Systeme verfügen über Passwortschutz-Funktionen, die die Registrierung mit zu einfachen Passwörtern verhindern oder ermöglichen, gängige Passwörter auf eine Blacklist zu setzen. Mit der Pwned Passwort-Liste können Betreiber von Online-Diensten Passwörter beim Login oder Erneuern gegen hunderte Millionen gestohlener Passwörter abgleichen und ihre Usern gegebenenfalls zu bitten, ein anderes Passwort zu nutzen.
  • Alternative Usernamen zur E-Mail-Adresse können Credential Stuffing erschweren, da dieses darauf angelegt ist, Accounts mit derselben Kombination aus Username und Passwort zu finden.
  • IP-Blocking: Bekannte bösartige IP-Adressen sowie IP-Adressen mit einer definierten Anzahl an erfolglosen Login-Versuchen können via Blocklist gesperrt werden.
  • Captchas zielen darauf ab, Menschen als solche zu identifizieren, und können automatisierte Anmeldeversuche erschweren oder deren Tempo bzw. Rentabilität reduzieren.
  • User-Benachrichtigungen: Warnen Sie User im Fall verdächtiger Login-Fehlversuche, beispielsweise wenn zwar das Passwort, aber nicht der zweite Authentifizierungs-Faktor korrekt war. Zeigen Sie außerdem Datum, Uhrzeit und Ort des letzten erfolgreichen Logins an.
  • Ein mehrstufiger Login-Prozess, bei dem z.B. Username und Passwort in zwei verschiedenen Schritten eingegeben werden müssen, gestaltet Angriffs-Versuche zumindest etwas aufwändiger.

Sicherheitstipps für Anwender*innen:

  • Verwenden Sie ausnahmslos unterschiedliche Passwörter für verschiedene Websites. Auch den Trick mit unterschiedlichen Ziffern kennen Angreifer bereits!
  • Im Falle historischer Altlasten: Melden Sie sich bei jedem Konto an und ändern Sie das Passwort schnellstmöglich. Stellen Sie sicher, dass Sie für jedes Konto ein anderes Passwort verwenden.
  • Nutzen Sie alternative E-Mail Adressen statt Ihrer Haupt-Adresse für unwichtigere oder selten verwendete Portale.
  • Wenn nicht unbedingt nötig, geben Sie Ihre E-Mail Adresse nicht an oder verwenden Sie z.B. Wegwerf-E-Mail-Adressen, wie die von 10minutemail.net
  • Ein Password-Manager, der auch gleich zufällige Phrasen generiert und verwaltet, kann dabei helfen, die unterschiedlichen Daten zu verwalten.
  • Wenn vom Service angeboten, verwenden Sie unbedingt 2-Faktor-Authentifzierung.
  • Teilen Sie Zugangsdaten nie über unsichere Kommunikationskanäle.

Geben Sie Ihre Zugangsdaten grundsätzlich nicht unbedacht weiter. Seien Sie besonders vorsichtig, wenn Sie auf Links in E-Mails oder Nachrichten klicken, insbesondere wenn Sie gebeten werden, Ihre Anmeldedaten einzugeben. Gehen Sie immer direkt zur gewünschten Website, anstatt einem Link zu folgen. Bestätigen Sie 2-Faktor Anfragen ausschließlich dann, wenn Sie sich gerade anmelden wollen und die Anfrage selbst ausgelöst haben.

Gestohlene Passwörter identifizieren und sofort ändern

Es gibt für User verschiedene Möglichkeiten, sich zu informieren bzw. auch automatisch benachrichtigen zu lassen, wenn eigene Daten nach einem Sicherheitsvorfall in dubiosen Sammlungen auftauchen. Folgend drei Beispiele:

  • Der Google Passwort Manager im Chrome-Browser gibt Warnungen, wenn Login-Kombinationen im Netz auftauchen
  • Firefox Monitor erlaubt ebenso die Überwachung der E-Mail-Adresse und benachrichtigt bei Vorkommnissen
  • Eine manuelle Überprüfung der eigenen E-Mail Adresse ist z.B. auf haveibeenpwned.com möglich

Zusätzlich empfehlen wir, nicht mehr benötigte bzw. nicht mehr verwendete Accounts möglichst vollständig zu löschen bzw. zu deaktivieren.

Fazit: Sowohl User als auch Service-Betreiber können dazu beitragen, Credential-Stuffing- und Password Spraying-Angriffe zu verhindern oder zumindest zu erschweren. Je mehr Maßnahmen implementiert werden, desto aufwändiger und in Folge weniger rentabel gestalten sich die Angriffsversuche. Essenziell für die Account-Sicherheit bleiben starke, einzigartige Passwörter sowie die Nutzung von zwei- oder Multifaktor-Authentifizierung. Seien Sie außerdem vorsichtig bei der Verwendung öffentlicher Computer und WLAN-Netzwerke, da ihre Dateneingaben dort von Dritten mitgelesen werden könnten. Achten Sie auf mögliche Phishing-Angriffe und geben Sie keine persönlichen oder finanziellen Informationen an unbekannte Dritte weitergeben.

Das könnte Sie auch interessieren:
API-Sicherheit: Schutz vor Fremdzugriffen und Manipulation
Aktuelle Cyberangriffe durchleuchtet: So kommen Angreifer in Ihr System
Neue Tricks auf Phishing-Websites

Quellen:
https://haveibeenpwned.com/
https://monitor.firefox.com/
https://cheatsheetseries.owasp.org/cheatsheets/Credential_Stuffing_Prevention_Cheat_Sheet.html

HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence
SQL Injection
SMTP Smuggling

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download