DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Credential Stuffing macht Online-Geschäfte deutlich unsi­cherer

Der Begriff Credential Stuffing steht für einen Angriff, bei dem Angreifer bereits (zum Bei­spiel im Rahmen eines Daten­lecks) gestohlene Nutzer-Passwort Kom­bi­na­tionen von Nutzern digi­taler Ser­vices ver­wenden, um sich Zugriff auf weitere Konten der betrof­fenen Kunden zu ver­schaffen. Der Angreifer ver­traut bei dieser Methode daraus, dass Ver­braucher für unter­schied­liche Online-Dienste und Shops immer das­selbe Passwort ver­wenden. Und tat­sächlich wird die Erwar­tungs­haltung der Hacker erfüllt – mitt­ler­weile sind Angreifer in der Lage, so im großen Umfang an Nutzer-Passwort-Kom­­bi­­na­­tionen zu kommen.

Bran­chen­ex­perten zufolge wird sich diese Form der Angriffe noch in diesem Jahr zu einem großen Thema für all die Unter­nehmen ent­wi­ckeln, die mit digi­talen Diensten ihr Geld ver­dienen. Ent­spre­chend bestä­tigen ver­schiedene Firmen bereits sehr umfang­reiche Angriffe auf die Log-in Daten ihrer Kunden, was nicht nur wirt­schaft­liche Schäden zur Folge hat, sondern auch Ein­bußen bei der Repu­tation, wenn der Angriff gelingt.

Die Ein­führung einer Mul­­ti­­faktor-Authen­­ti­­fi­­zierung kann hier Abhilfe schaffen, wirkt sich aber negativ auf die Usa­bility des jewei­ligen Dienstes aus, weshalb Online-Dienste sie nur ungern anbieten. Einen Kom­promiss in dieser Hin­sicht könnte eine Methode sein, wonach „weitere Fak­toren jen­seits von Nut­zername und Passwort erst abge­fragt werden, wenn bei­spiels­weise die IP-Adresse des mobilen Gerätes unge­wöhnlich erscheint oder aber die Trans­aktion vom nor­malen sons­tigen Vor­gehen des Nutzers abweicht.“ So ließe sich der Schutz der Nut­zer­daten deutlich erhöhen, ohne dass die Usa­bility der Dienste dar­unter leidet.

Quelle: Artikel Credential Stuffing — Angriffe auf Login-Daten gefährden Online-Geschäfte auf Security Insider

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.