Cre­dential Stuffing macht Online-Geschäfte deutlich unsicherer

Der Begriff Cre­dential Stuffing steht für einen Angriff, bei dem Angreifer bereits (zum Bei­spiel im Rahmen eines Daten­lecks) gestohlene Nutzer-Passwort Kom­bi­na­tionen von Nutzern digi­taler Ser­vices ver­wenden, um sich Zugriff auf weitere Konten der betrof­fenen Kunden zu ver­schaffen. Der Angreifer ver­traut bei dieser Methode daraus, dass Ver­braucher für unter­schied­liche Online-Dienste und Shops immer das­selbe Passwort ver­wenden. Und tat­sächlich wird die Erwar­tungs­haltung der Hacker erfüllt – mitt­ler­weile sind Angreifer in der Lage, so im großen Umfang an Nutzer-Passwort-Kom­­bi­na­­tionen zu kommen.

Bran­chen­ex­perten zufolge wird sich diese Form der Angriffe noch in diesem Jahr zu einem großen Thema für all die Unter­nehmen ent­wi­ckeln, die mit digi­talen Diensten ihr Geld ver­dienen. Ent­spre­chend bestä­tigen ver­schiedene Firmen bereits sehr umfang­reiche Angriffe auf die Log-in Daten ihrer Kunden, was nicht nur wirt­schaft­liche Schäden zur Folge hat, sondern auch Ein­bußen bei der Repu­tation, wenn der Angriff gelingt.

Die Ein­führung einer Mul­­ti­­faktor-Authen­­ti­­fi­­zierung kann hier Abhilfe schaffen, wirkt sich aber negativ auf die Usa­bility des jewei­ligen Dienstes aus, weshalb Online-Dienste sie nur ungern anbieten. Einen Kom­promiss in dieser Hin­sicht könnte eine Methode sein, wonach „weitere Fak­toren jen­seits von Nut­zername und Passwort erst abge­fragt werden, wenn bei­spiels­weise die IP-Adresse des mobilen Gerätes unge­wöhnlich erscheint oder aber die Trans­aktion vom nor­malen sons­tigen Vor­gehen des Nutzers abweicht.“ So ließe sich der Schutz der Nut­zer­daten deutlich erhöhen, ohne dass die Usa­bility der Dienste dar­unter leidet.

Quelle: Artikel Cre­dential Stuffing — Angriffe auf Login-Daten gefährden Online-Geschäfte auf Security Insider