"Credential Stuffing" - Sicherheitsproblem Bequemlichkeit

"Um einen Account bei einem Online-Dienst zu übernehmen, muss ein Angreifer keine Schutzmechanismen aushebeln. Oft genügen anderswo erbeutete Zugangsdaten", schreibt der Autor in der Zeitschrift C't (Verlag Heise)

C't hat in einem Online Artikel sehr anschaulich dargestellt, warum Einbrüche und Datenklau unbemerkt bleiben, weil Anwender "zu bequem" sind. Aktueller Anlass ist ein monatelanger unbemerkter Datenklau von Millionen Zugangsdaten. Fatal daran ist:


Credential Stuffing ist aus der Sicht des Betreibers eines Online-Dienstes schwer auszumachen: Niemand versucht, mit irgendwelchen technischen Tricks hintenrum einzubrechen, sondern kommt mit den Zugangsdaten wie ein ganz normaler Nutzer durch die Vordertür.

Wer überprüfen will, ob sein Passwort bereits kompromittiert wurde, dem empfiehlt c't den Identity-Check des HPI.

Gesamten Artikel Online auf heise.de lesen

Unsere Empfehlung:

Unterschiedliche Benutzernamen und Passwörter für die verschiedenen Logins verwenden. Und wo eine 2-Faktor Authentifizierung (One-time Password) angeboten wird, diese nutzen. Der Aufwand ist minimal, der Schutz allerdings sehr hoch!