Was ist Password Stuffing und wie können Sie sich davor schützen?

Credential Password Stuffing

Ein Benutzer hat eines seiner Online-Konten gekapert und fragt sich zunächst: "Wie haben die Hacker mein Passwort in die Hände bekommen?". Sie sind wütend und wollen Antworten. Wenn die Antworten verspätet sind, werden sie noch frustrierter.

Es ist eine natürliche Reaktion, aber lassen Sie uns einen Moment innehalten und darüber nachdenken, wie es auf der anderen Seite des Zauns ist. Versetzen Sie sich in die Lage eines Dienstleisters.

Sie haben unzählige Blog-Posts, Artikel und Forschungsberichte gelesen. Sie haben Sicherheitsspezialisten erklärt, was Sie tun und was nicht, und im Gegensatz zu vielen anderen Online-Diensten glauben Sie nicht, dass eine Aussage mit den Worten "Sicherheit" und "ernst" ein Mittel ist, um Horden von Ärgernissen zu beruhigen Benutzer. Ihre Verbindung ist sicher, Ihr Authentifizierungssystem sperrt und hascht die Passwörter der Benutzer und speichert sie sicher. Ihre Server und alle von Ihnen verwendeten Softwareanwendungen werden ständig überwacht und regelmäßig gepatcht. Und trotzdem haben Hunderte Ihrer Benutzer ihre Konten kompromittiert, und Sie wissen nicht, wie das passiert ist. Ihre Benutzer sind höchstwahrscheinlich Opfer eines Angriffs zum Speichern von Anmeldeinformationen (oder Kennwörtern) geworden.

Die Konsequenzen von Sicherheitsmängeln einer anderen Person tragen

Credential Stuffing ist der Name eines mehrstufigen Angriffs, der immer beliebter wird. Möglich wird dies durch die Tatsache, dass viel zu viele Websites und Onlinedienste nicht genug tun, um die sensiblen Daten der Benutzer zu schützen. Anmeldeinformationen werden beispielsweise im Nur-Text-Format gespeichert, und die darin enthaltenen Datenbanken werden ohne jeglichen Schutz für das World Wide Web verfügbar gemacht.

Für noch weniger erfahrene Cyber-Betrüger ist das Hacken dieser Websites ein Kinderspiel und sie versuchen, so viele Anmeldeinformationen wie möglich zu kratzen. Verlorene Benutzernamen und Passwörter werden regelmäßig auch in Hacking-Foren gehandelt. Dies ist eine gute Nachricht für die Cybercrooks, da sie in den meisten Fällen gehackte Datenbanken von mehreren Websites verwenden, um einen einzigen Angriff auf Anmeldeinformationen durchzuführen.

Der Versuch, Konten zu entführen, indem alle Benutzernamen und Kennwörter von einer einzigen IP-Adresse aus eingegeben werden, dauert Jahre und löst wahrscheinlich die Sperrmechanismen auf vielen Websites aus. Aus diesem Grund verwenden die Cyber-Betrüger Botnets (Gruppen gefährdeter Computer und Geräte, die mit dem Internet verbunden sind) und Skripte, die bestimmen, ob die gestohlenen Anmeldeinformationen funktionieren. Sie probieren sie jedoch nicht auf den Websites aus, von denen sie gestohlen wurden.

Sie probieren sie auf Websites und Onlinediensten aus, bei denen die Beeinträchtigung eines Kontos viel lukrativer sein kann. Und da eine große Anzahl von Personen auf mehreren Websites dasselbe Kennwort verwendet, sind die Versuche der Hacker häufig erfolgreich.

Ist es fair, dem Benutzer die Schuld zu geben?

Die meisten Benutzer wissen, dass sie es nicht tun sollten. Viele von ihnen wissen, dass Lösungen wie Cyclonis Password Manager ihnen helfen werden, dies zu vermeiden. Sie verwenden jedoch weiterhin identische Kennwörter für viele Konten. Man könnte sagen, dass sie für die Existenz und insbesondere für die Popularität von Attacken verantwortlich sind.

Die Wahrheit ist jedoch, dass jeder sein eigenes Gewicht ziehen muss. Die Tatsache, dass in einem Online-Forum keine Zahlungsinformationen gespeichert werden, bedeutet nicht, dass der Eigentümer die Sicherheit vernachlässigen sollte. Ebenso sollte sich ein Benutzer nicht wohl fühlen, wenn er weiß, dass die gleiche Folge von Buchstaben und Zahlen sowohl sein Online-Banking-Konto als auch ein vergessenes Profil in einem sozialen Netzwerk schützt, das niemand mehr verwendet. Jeder sollte sich des Problems bewusst sein und alles tun, um es zu beheben.

Seien wir aber realistisch, wie wahrscheinlich ist das?

Bedenken Sie Folgendes: Es ist einfacher denn je, eine Website zu erstellen. Um die Leute dazu zu bringen, sich anzumelden, sagen Marketingabteilungen auf der ganzen Welt, dass selbst Ihre Großmutter das kann. Es ist unwahrscheinlich, dass sich dies bald ändern wird.

Wir sind uns bewusst, dass es Ausnahmen gibt, aber normalerweise sind Großmütter nicht am besten dafür qualifiziert, ein System zu entwerfen, das sich um die Sicherheit und den Datenschutz des Benutzers dreht. Leider ist es unwahrscheinlich, dass sich dies bald ändern wird. Eines Tages werden Sie sich unweigerlich für eine Website anmelden, die von einer Großmutter designt wurde, und wenn Sie Ihr Passwort erneut verwenden, werden Sie bald in Schwierigkeiten geraten.

Also, ob es Ihnen gefällt oder nicht, als Benutzer befindet sich der Ball in Ihrem Spielfeld.

November 5, 2019

Antworten