Wat ass Credential Stuffing - Wéi Hacker probéieren onerlaabt Logins

Juni 25, 2020 By Nick Anderson Nee Comments 5 Minutt

Är Online Umeldungsinformatiounen sinn déi wichtegst Informatioun déi Iech erlaabt Zougang zu verschidde Servicer ze kréien. Umeldungsinformatiounen bestätegen d'Besëtzer. Et ass Äre Schlëssel fir d'Online Plattformen fir déi Dir Iech ugemellt hutt. Wéinst extrem sensibel sinn dës Informatioun wäertvoll fir Hacker. Léiert wéi Hacker Credential Stuffing benotzen fir Zougang zu Äre Konten ze kréien a wéi Dir et verhënnert.

Credential Stuffing erkläert

Hacking ass eng Praxis fir onerlaabten Zougang zu engem System ze kréien fir eng Handlung auszeféieren, déi onerwaart an der Natur ass. Dir musst vu Verstéiss bei Servicer héieren hunn, déi Schlagzeilen am Tech Raum elo an dann maachen. Et ass net ongewéinlech Berichter iwwer de Vol vu Millioune Konten ze gesinn, et ass net ongewéinlech. De primäre Zweck fir e Service z'attackéieren ass d'Datebank ze extrahieren déi den login Informatioun vun de Benotzer.
Och verstoppt Versuche kënnen op d'mannst e puer Donnéeën huelen. Normalerweis, wann e Service vun engem Verstouss betraff ass, rullt et eng Pressematdeelung eraus, déi d'Publikum vum Tëschefall informéiert. Et schéckt och registréiert Benotzer per E-Mail fir hir Umeldungsinformatiounen direkt z'änneren, well sou Verstéiss op d'mannst en Deel vun der Datebank mat sech huelen ier se festgestallt ginn, a Sécherheetsverteidegunge schloen se eraus.
Awer d'Passwuert vun deem bestëmmte Kont zrécksetzen sollt net dat eenzegt sinn wat Dir maacht.
Wann eng Cyberattack d'Umeldungsinformatioune vun de Benotzer geklaut huet, wäerte se fir jiddereen ze verkafen dee gewëllt ass fir et ze bezuelen, am Dark Web. Den Dark Web ass d'Plaz wou all Zort vun illegalen Aktivitéiten stattfannen. Dir kënnt iwwer The Dark Web op eisem léieren blog. Dësen Ënnerbau vum Internet ass wou geklauten Donnéeën ze verkafen ginn.
Wéi mir scho gesot hunn, d'Passwuert vun deem ee Kont zrécksetzen wäert Iech net komplett vum autoriséierten Zougang schützen. D'Benotzer tendéieren ee Passwuert iwwer verschidde Servicer ze benotzen. Et ass wou d'Credential Stuffing erakënnt fir säi Wee an aner Konten ze hacken.
Wann en Hacker Umeldungsinformatioune kritt, wäert et e Versuch- a Feeler-Experiment op aner Servicer ausféieren fir ze kucken ob d'Passwuert passt. Natierlech, manuell d'Lëscht vun de Benotzer an hir Umeldungsinformatiounen op verschiddenen anere Websäiten anzeféieren wäert wesentlech Zäitopwänneg sinn, sou datt Hacker dës Aarbecht op Bots delegéieren.

Websäite Plaz CAPTCHA (Komplett automatiséiert Ëffentlech Turing) während login Mass ofschrecken login probéiert.
Awer och mat Restriktiounen wéi Timeouts an IP Verbuet op der Plaz, Credential Stuffing kann erfollegräich sinn. D'Tools déi dës Restriktiounen ëmgoen sprangen login Versich tëscht méi IP Adressen. Also kënnen d'Hacker weider Passwierder probéieren ouni ausgespaart ze ginn.

Déi reell Gefor ass wann d'Kreditkaartinformatioun online geläscht gëtt, net nëmmen d'Umeldungsinformatioune vu soziale Medienplattformen.
Ee Beispill vun enger Cyberattack ass Yahoo. D'Internet Service Firma weisen datt e Verstouss am Joer 2013 d'Informatioun vun 3 Milliarde Benotzer kompromittéiert huet, sou datt et de gréissten Dateverletzung an der Geschicht ass.

Credential Stuffing ass net Brute Force

Credential Stuffing ka schéngen als Brute Force Technik ze sinn, awer dat ass net korrekt. Brute Force ass eng Technik déi zoufälleg generéiert Passwierder op e Kont applizéiert bis et déi richteg Kombinatioun fënnt. Den Ënnerscheed vu Credential Stuffing hei ass mam Onbekannt ze këmmeren - et gëtt keng Indikatioun oder Informatioun iwwer d'Umeldungsinformatioune vum Kont. Brute Forcing ass vill méi Zäitopwänneg a erfuerdert wesentlech méi Rechenressourcen. Rechenkapazitéit beaflosst direkt d'Effizienz vum Brute Forcing.
Credential Stuffing hëlt einfach déi bekannt Umeldungsinformatiounen a fänkt se un aner Servicer un. Et ass wéi e Schlëssel ze hunn an ze hoffen datt et en anere Schloss gëtt deen et acceptéiert.

Wéi Verteidegung Géint Credential Stuffing

Et gëtt net vill wat Dir maache kënnt wann e Service verletzt gouf. Et ass ganz un der Fäegkeet vum Service fir Är Donnéeën sécher ze halen.
Denkt drun datt e staarkt Passwuert generéiert Iech nëmme géint Brute Force séchert. Passwierder déi grouss Buschtawen an kleng Buschtawen, speziell Zeechen an Zuelen enthalen, maachen eng mächteg Kombinatioun aus.
Wéi och ëmmer, déi eenzeg Saach déi Dir maache kënnt - a sollt maachen - ass verschidde Passwierder op all Äre Konten ze halen. Et ass Erausfuerderung fir verschidde Passwierder ze erënneren déi eng eenzegaarteg Kombinatioun hunn, sou datt Dir e Passwuertmanager benotzt wäert praktesch kommen. Wann de Passwuert Manager eng Webbrowser Extensioun bitt, da fëllt se automatesch Umeldungsinformatiounen fir Iech un login.
Zousätzlech zu staarken an eenzegaartege Passwierder, aktivéiert Zwee-Faktor Authentifikatioun (2FA). D'Feature ass eng staark Verteidegung géint onerlaabt logins a füügt eng zweet Schicht vun der Verifikatioun. Obwuel et erfuerdert datt Dir ëmmer eng aktiv Nummer mat Iech hutt, sinn d'Virdeeler wäit méi wéi d'Kraaft. No der éischter zwee-Faktor Authentifikatioun, Dir kënnt wielen Zukunft erlaben logins vum selwechten Apparat oder halen den 2FA fir all login.
E puer Servicer informéieren Iech ob et e login Versuch vun engem onbekannten Apparat.
Awer e Sécherheetsbroch ass net deen eenzege Wee fir Hacker Zougang zu Umeldungsinformatiounen ze kréien. Schwaach Sécherheet iwwer den Internet kann Hacker erlaben Datepäck ze interceptéieren. Dat prominent Beispill ass wéi ëffentlech Wi-Fi Hotspots kënne benotzt ginn fir eng Mann-an-der-Mëtt attackéieren. Onsécher Netzwierker oder eng ongeséchert Verbindung tëscht der Websäit an dem Benotzer huet de Potenzial fir Hacker eng Chance ze ginn.
Déi meescht Websäite benotzen haut HTTPS fir Internetkommunikatioun mat Verschlësselung ze sécheren. Wéi och ëmmer, e VPN mécht all Outbound Traffic verschlësselt, och fir Websäiten déi nëmmen HTTP benotzen. FastestVPND'militäresch Verschlësselung wäert d'Sécherheet garantéieren wann Dir duerch onsécher Netzwierker ënnerwee surft.

Konklusioun

Mat all deem gesot, d'Ausbléck ass net sou beonrouegend wéi et kléngt. Et gëtt geschat datt manner wéi 0.5% vun de Credential Stuffing Versich erfollegräich sinn. Awer dat sollt Iech net verhënneren, Virsiichtsmoossnamen ze huelen. Benotzt ni e Passwuert op méi wéi enger Websäit; dat ass d'Regel déi Dir musst folgen.

Abonnéiert Iech beim Newsletter

Kritt déi trendy Posts vun der Woch an déi lescht Ukënnegung vun FastestVPN iwwer eis E-Mail Newsletter.

E-Mailadress