Nevis: Credential Stuffing wirkungsvoll ausbremsen
Accounts mit passwortfreier Authentisierung schützen
Während der Corona-Pandemie hat die Zahl der Cyberattacken weiter zugenommen. Zu diesem Ergebnis kommt der vom Bundesinnenministerium gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Bericht zur Lage der IT-Sicherheit in Deutschland 2020. Neben Schadsoftware spielt vor allem das sogenannte Credential Stuffing eine immer wichtigere Rolle in den Strategien der Kriminellen. Nevis Security, Entwickler von Sicherheitslösungen, gibt einen Überblick und nennt wirksame Gegenmaßnahmen.
Credential Stuffing, also das automatisierte Durchprobieren von Benutzername-Passwort-Kombinationen bei verschiedenen Online-Diensten, hat seit 2019 einen starken Aufschwung erlebt: Ursache sind große Data Breaches etwa bei Marriott, Equifax oder LinkedIn, durch die eine Vielzahl an Login-Daten in die Hände von Kriminellen gelangten. Schwerer wiegt aber, dass rund 61 Prozent der Nutzenden ihre Passwörter nicht nur einmal vergeben, sondern wiederverwenden. Ein einmal gestohlenes Passwort kann so als Generalschlüssel zu verschiedensten Diensten fungieren.
Welche Goldgräberstimmung unter Cyberkriminellen herrscht, lässt sich auch mit einem Blick auf die Zahl der erfolgreichen Cyberattacken 2020 ermessen. Über 80 Prozent erfolgten mittels gestohlener Login-Daten oder Brute Force; bevorzugtes Angriffsziel waren mit mehr als 90 Prozent Web-Applikationen, so der Verizon Data Breach Investigations Report 2021. Tiefere Technik- oder Programmierkenntnisse müssen die Täter dabei nicht mitbringen: Geleakte Passwortlisten sind teils frei zugänglich oder lassen sich im Darknet käuflich erwerben. Ebenso einfach gestaltet sich der Zugang zu Tools fürs Credential Stuffing.
Ob und wo ein Login mit den gestohlenen oder gekauften Anmeldedaten möglich ist, testen die Kriminellen mit Hilfe eines rotierenden Proxys, der Hunderttausende von Anmeldeinformationen über mehrere Dienste hinweg ansteuert.
Als wirkungsvolle Gegenmaßnahme empfiehlt der Bericht des BSI – neben allgemeiner Sorgfalt im Umgang mit den eigenen Daten – eine Zwei-Faktor-Authentisierung, wann immer ein Online-Dienst diese anbietet. Ist diese Sicherheitsmaßnahme aktiv, reicht es nicht mehr aus, nur das Passwort zu kennen. Zusätzlich muss der Anwendende durch ein Merkmal, über das nur er allein verfügt, seine Identität zweifelsfrei nachweisen. Nutzen lässt sich dafür beispielsweise das SMS-TAN-Verfahren, Hardware-Keys oder verschiedene Authenticator-Apps.
Alle diese Verfahren haben aber gemeinsam, dass sie entweder unsicher sind, so können Kriminelle SMS mit entsprechenden Software-Tools ohne weiteres abfangen, die Geduld des Nutzers beim Abtippen von Zahlenkolonnen strapazieren oder schlicht nicht zur Hand sind, wenn man sie benötigt.
Abhilfe schafft ein Verfahren, das Passwörter vollständig durch eine biometrische Authentisierung ersetzt und sowohl die Benutzerfreundlichkeit wie auch die Sicherheit verbessert: die sogenannte passwortfreie Authentisierung. Sie nutzt die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Identifizierung des Nutzenden anhand seiner Gesichtszüge oder Fingerabdrücke ermöglichen, ohne dass sensible Daten jemals das Gerät verlassen. Da das Smartphone heute in fast jeder Lebenslage mit dabei ist, kann der Nutzende nahezu überall auf den sicheren Login per Authentisierungs-App zurückgreifen.
Lesen Sie mehr zum Thema
