Was ist Credential Stuffing – wie Hacker es unerlaubt versuchen Logins

By Nick Anderson Keine Kommentare 5 Мinuten

DieIhre Online-Zugangsdaten sind die wichtigsten Informationen, die Ihnen den Zugriff auf verschiedene Dienste ermöglichen. Anmeldeinformationen verifizieren den Besitz. Es ist Ihr Schlüssel zu den Online-Plattformen, für die Sie sich angemeldet haben. Da diese Informationen äußerst sensibel sind, sind sie für Hacker wertvoll. Erfahren Sie, wie Hacker Credential Stuffing verwenden, um sich Zugriff auf Ihre Konten zu verschaffen, und wie Sie dies verhindern können.

Ausfüllen von Anmeldeinformationen

Erhalten Sie FastestVPN

Credential Stuffing erklärt

Hacking ist eine Praxis, bei der unbefugter Zugriff auf ein System erlangt wird, um eine Aktion auszuführen, die von Natur aus schändlich ist. Sie müssen von Verstößen in Diensten gehört haben, die hin und wieder Schlagzeilen im Technologiebereich machen. Berichte über den Diebstahl von Millionen von Konten sind keine Seltenheit. Der Hauptzweck eines Angriffs auf einen Dienst besteht darin, die Datenbank zu extrahieren, die die enthält login Informationen der Benutzer.
Selbst vereitelte Versuche können zumindest einige Daten mitnehmen. Wenn ein Dienst von einem Verstoß betroffen ist, veröffentlicht er normalerweise eine Pressemitteilung, in der die Öffentlichkeit über den Vorfall informiert wird. Außerdem werden registrierte Benutzer per E-Mail aufgefordert, ihre Anmeldeinformationen sofort zu ändern, da solche Verstöße mindestens einen Teil der Datenbank mitnehmen, bevor sie entdeckt werden, und von Sicherheitsmaßnahmen ausgeschlossen werden.
Das Zurücksetzen des Passworts dieses bestimmten Kontos sollte jedoch nicht das Einzige sein, was Sie tun.
Sobald ein Cyberangriff Anmeldeinformationen von Benutzern gestohlen hat, werden sie im Dark Web an jeden verkauft, der bereit ist, dafür zu bezahlen. Das Dark Web ist der Ort, an dem alle möglichen illegalen Aktivitäten stattfinden. Auf unserer Seite können Sie mehr über das Dark Web erfahren blog. In dieser Schattenseite des Internets werden gestohlene Daten verkauft.
Wie bereits erwähnt, schützt Sie das Zurücksetzen des Passworts dieses einen Kontos nicht vollständig vor autorisiertem Zugriff. Benutzer neigen dazu, ein Passwort für mehrere Dienste zu verwenden. Hier kommt Credential Stuffing ins Spiel, um sich in andere Konten zu hacken.
Sobald ein Hacker Zugangsdaten erhält, führt er eine Art Trial-and-Error-Experiment mit anderen Diensten durch, um zu sehen, ob das Passwort übereinstimmt. Natürlich ist das manuelle Einfügen der Benutzerliste und ihrer Anmeldeinformationen auf verschiedenen anderen Websites sehr zeitaufwändig, sodass Hacker diese Aufgabe an Bots delegieren.

Websites platzieren CAPTCHA (Completely Automated Public Turing) während login Masse abzuschrecken login Versuche.
Aber auch mit Einschränkungen wie Timeouts und IP-Verbot kann Credential Stuffing erfolgreich sein. Die Tools, die diese Einschränkungen umgehen, springen login Versuche zwischen mehreren IP-Adressen. So können die Hacker weiterhin Passwörter versuchen, ohne ausgesperrt zu werden.

Die wirkliche Gefahr besteht darin, dass Kreditkarteninformationen online durchgesickert sind, nicht nur die Anmeldeinformationen von Social-Media-Plattformen.
Ein Beispiel für einen Cyberangriff ist Yahoo. Das Internetdienstleistungsunternehmen enthüllt dass ein Datenleck im Jahr 2013 die Informationen von 3 Milliarden Benutzern kompromittiert hat, was es zum größten Datenleck in der Geschichte macht.

Credential Stuffing ist keine Brute Force

Credential Stuffing mag wie eine Brute-Force-Technik erscheinen, aber das ist nicht richtig. Brute Force ist eine Technik, die zufällig generierte Passwörter auf ein Konto anwendet, bis die richtige Kombination gefunden wird. Der Unterschied zu Credential Stuffing besteht hier im Umgang mit dem Unbekannten – es gibt keine Hinweise oder Informationen zu den Anmeldeinformationen des Kontos. Brute Force ist viel zeitaufwändiger und erfordert deutlich mehr Rechenressourcen. Die Rechenleistung wirkt sich direkt auf die Effizienz von Brute Force aus.
Credential Stuffing nimmt einfach die bekannten Anmeldeinformationen und wendet sie auf andere Dienste an. Es ist, als hätte man einen Schlüssel und hofft, dass es ein anderes Schloss gibt, das ihn akzeptiert.

So wehren Sie sich gegen Credential Stuffing

Es gibt nicht viel, was Sie tun können, wenn ein Dienst verletzt wurde. Es hängt ganz von der Fähigkeit des Dienstes ab, Ihre Daten zu schützen.
Denken Sie daran, dass die Generierung eines starken Passworts Sie nur vor Brute Force schützt. Passwörter, die Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten, bilden eine leistungsstarke Kombination.
Das Einzige, was Sie jedoch tun können – und sollten – ist, für alle Ihre Konten unterschiedliche Passwörter zu verwenden. Es ist schwierig, sich mehrere Passwörter zu merken, die eine eindeutige Kombination haben, daher ist die Verwendung eines Passwort-Managers praktisch. Wenn der Passwort-Manager eine Webbrowser-Erweiterung anbietet, füllt er automatisch die Anmeldeinformationen für Sie aus login.
Aktivieren Sie zusätzlich zu starken und eindeutigen Passwörtern die Zwei-Faktor-Authentifizierung (2FA). Die Funktion ist eine starke Abwehr gegen Unbefugte logins und fügt eine zweite Überprüfungsebene hinzu. Obwohl Sie immer eine aktive Nummer bei sich haben müssen, überwiegen die Vorteile bei weitem den Aufwand. Nach der ersten Zwei-Faktor-Authentifizierung können Sie die Zukunft zulassen logins vom selben Gerät oder behalten Sie die 2FA für beide bei login.
Einige Dienste informieren Sie, wenn es eine gab login Versuch von einem unbekannten Gerät.
Aber eine Sicherheitsverletzung ist nicht die einzige Möglichkeit für Hacker, Zugang zu Anmeldeinformationen zu erhalten. Schwache Sicherheit im Internet kann es Hackern ermöglichen, Datenpakete abzufangen. Prominentes Beispiel ist, wie öffentliche WLAN-Hotspots genutzt werden können, um a Man-in-the-Middle Attacke. Unsichere Netzwerke oder eine ungesicherte Verbindung zwischen der Website und dem Benutzer haben das Potenzial, Hackern eine Chance zu geben.
Die meisten Websites verwenden heute HTTPS, um die Internetkommunikation durch Verschlüsselung zu sichern. Ein VPN verschlüsselt jedoch jeden ausgehenden Datenverkehr, auch für Websites, die nur HTTP verwenden. FastestVPNDie Verschlüsselung nach Militärstandard gewährleistet die Sicherheit beim Surfen in ungesicherten Netzwerken unterwegs.

Zusammenfassung

Nach alledem sind die Aussichten nicht so besorgniserregend, wie es sich anhört. Es wird geschätzt, dass weniger als 0.5 % der Credential-Stuffing-Versuche erfolgreich sind. Aber das sollte Sie nicht davon abhalten, Vorsorge zu treffen. Verwenden Sie niemals ein Passwort auf mehr als einer Website; Das ist die Regel, die Sie befolgen müssen.

Übernehmen Sie noch heute die Kontrolle über Ihre Privatsphäre! Entsperren Sie Websites, greifen Sie auf Streaming-Plattformen zu und umgehen Sie die ISP-Überwachung.

Erhalten Sie FastestVPN
BLOSS NICHTS VERPASSEN
Erhalten Sie die trendigen Posts der Woche und die neuesten Ankündigungen von FastestVPN über unseren E-Mail-Newsletter.
am linken Bildschirmrand.
0 0 Stimmen
Artikelbewertung

Du könntest Auch gerne

Was ist Catfishing und wie erkennt man es? Was ist Catfishing und wie erkennt man es?
Was ist Deep Packet Inspection und was sind seine Sicherheitsherausforderungen? Was ist Deep Packet Inspection und was sind seine Sicherheitsherausforderungen?
Was ist UPnP – wie macht es Sie angreifbar? Was ist UPnP – wie macht es Sie angreifbar?
Abonnieren
Benachrichtigung von
Gast
0 Ihre Nachricht
Inline-Feedbacks
Alle Kommentare anzeigen