Technologie einfach erklärt

Passwortspray vs. Credential Stuffing: Unterschiede & Prävention

passwort spray vs credential stuffing
Der Hauptunterschied zwischen Passwortspray und Credential Stuffing liegt in den Anforderungen, die für die Durchführung des Angriffs notwendig sind. Beide sind Brute-Force-Angriffe, die von böswilligen Akteuren verwendet werden, um illegalen Zugang zu Benutzerkonten zu erlangen.

Obwohl das zunächst beängstigend klingt, hängen sie immer noch von Fehlern auf Ihrer Seite ab. In diesem Leitfaden zu Passwortspray vs. Credential Stuffing zeigen wir, wie man diese Angriffe verhindern kann und was die Unterschiede zwischen ihnen sind.

Was ist Passwortspray?

passwort spray
Ein Passwortspray ist eine Form des Brute-Force-Angriffs, bei dem der Täter versucht, ein zufällig ausgewähltes, häufig verwendetes Passwort auf verschiedenen gültigen Benutzernamen anzuwenden. Das bedeutet, dass der Angreifer keine legitimen Informationen hat.

Stattdessen sprühen sie einige der gängigen und leicht merkbaren Passwörter, die ein durchschnittlicher Benutzer häufig verwendet, auf viele gültige Benutzernamen. Einige dieser schwachen Passwörter sind Passwort, 123456, 123abc und 111111 usw.

Sie wiederholen dieses Verfahren mit verschiedenen gängigen Passwörtern, bis sie schließlich eines der Konten knacken.

Was ist Credential Stuffing?

credential stuffing
Im Gegensatz zum Passwortspray erhält der Angreifer beim Credential Stuffing Zugang zu den Anmeldedaten eines Benutzers. Dies geschieht normalerweise über Online-Lecks; möglicherweise wurde die Datenbank der Website, bei der Sie ein Konto haben, kompromittiert.

Mit dem Passwort von einem einzigen Konto versucht der böswillige Akteur, Zugriff auf andere Online-Konten des gleichen Benutzers zu erhalten. Wenn das Passwort nicht funktioniert, versucht der Hacker verschiedene Variationen des gleichen Passworts.

Zum Beispiel könnte ein Hacker Zugang zum Facebook-Benutzernamen, E-Mail und Passwort eines Benutzers erhalten. Er wird dann versuchen, das Passwort zu verwenden, um auf das Twitter- oder Gmail-Konto der Person zuzugreifen. Wenn das nicht funktioniert, verwenden sie stattdessen eine Variation des Passworts.

Was ist der Unterschied zwischen Passwortspraying und Credential Stuffing?

1. Ziel des Angriffs

Das Hauptziel dieser beiden Angriffsarten ist es, illegalen Zugang zu Benutzerkonten zu erhalten. Beim Credential Stuffing besteht das Ziel darin, ein geleaktes Benutzerkennwort für ein Konto zu verwenden, um Zugang zu mehreren Konten desselben Benutzers zu erhalten.

Passwortspray hingegen erfordert, dass der böswillige Akteur eine Liste von gängigen Passwörtern hat, die auf verschiedenen gültigen Benutzernamen gesprüht werden.

2. Anforderungen

Die Anforderung für einen Credential Stuffing-Angriff ist eine geleakte Online-Kennwortbasis, mit der gearbeitet werden kann. Diese erhalten sie normalerweise durch Online-Lecks oder durch das Hacken einer Datenbank einer Organisation.

Während Passwortspraying keine geleakten Daten erfordert. Nur eine zufällige Liste von gültigen Benutzernamen, die meist eine E-Mail-Adresse und häufig verwendete und einfache Passwörter ist.

3. Betriebsmodus

Während Credential Stuffing manuell durchgeführt werden kann, verwenden Hacker Botnetze. Sie füttern die verfügbaren Daten an die Bots, die beginnen, verschiedene Variationen zu erstellen, um Zugriff auf andere Konten zu erhalten.

Diese Angriffsform funktioniert, weil die meisten Internetnutzer keine einzigartigen Passwörter für verschiedene Konten verwenden. Stattdessen benutzen sie immer wieder dasselbe Passwort oder eine Variation davon.

Angreifer nutzen auch Botnetze für Passwortspraying. Die Bots arbeiten mit gültigen Benutzernamen und ordnen diese häufig verwendeten Passwörtern zu, bis sie ein gültiges Kennwort für ein Konto erhalten.

Diese Angriffsform ist manchmal erfolgreich, weil ein durchschnittlicher Internetnutzer Dutzende von Konten hat, die Passwörter erfordern. Daher bevorzugen es die meisten Menschen, diese schwachen und so genannten leicht merkbaren Passwörter zu verwenden. Das macht es Hackern leicht, Zugriff auf ihre Konten zu erhalten.

Wie kann ich Credential Stuffing und Passwortspraying verhindern?

Im Folgenden sind einige Dinge aufgeführt, die eine Organisation und Einzelpersonen tun können, um diese Brute-Force-Angriffe zu verhindern:

  • Verwenden Sie einzigartige Passwörter – Auch wenn es verlockend ist, sich für die häufig verwendeten Passwörter zu entscheiden, endet dies meist schlecht. Verwenden Sie immer ein starkes und einzigartiges Passwort für verschiedene Konten. Wenn Sie sich Sorgen machen, sie alle zu merken, können Sie stattdessen einen vertrauenswürdigen Passwortmanager verwenden.
  • Verwerfen Sie häufig verwendete Passwörter – Als Organisation mit Online-Portalen müssen Sie Passworterstellungsrichtlinien haben, die schwache und häufig verwendete Passwörter ablehnen. Damit können Sie einen Passwortspray-Angriff schnell erkennen, bevor er zu Ende kommt.
  • Verwenden Sie die Multifaktor-Authentifizierung (MFA) – Um die Sicherheit Ihres Portals und Ihrer Konten zu stärken, müssen Sie die Bedeutung von Passwörtern reduzieren. Eine effektive Methode, dies zu tun, ist die Implementierung einer Zwei-Faktor-(2FA) oder Multifaktor-Authentifizierung. Damit müssen die Benutzer zusätzliche Informationen bereitstellen, auf ihre Geräte zugreifen oder biometrische Überprüfungen neben ihren Passwörtern verwenden.
  • Überprüfen Sie häufig auf Datenbankverletzungen – Manchmal überprüfen einige Organisationen ihre Datenbanken, insbesondere die gemeinsamen, die eine Datenbank von bekannten geleakten Anmeldedaten enthalten. Damit können Sie wissen und schnell Maßnahmen gegen kompromittierte Konten ergreifen.
  • Begrenzen Sie die Anmeldeversuche – Ein weiterer effektiver Weg, um Credential Stuffing und Passwortspraying zu verhindern, besteht darin, die Anzahl der Anmeldeversuche zu einem Zeitpunkt zu begrenzen. Sie können auch CAPTCHA und andere Tools zur Erkennung von Bots in den Anmeldeprozess einführen.

Wir sind am Ende dieses Leitfadens zu Credential Stuffing vs. Passwortspray angelangt. Mit den Informationen darin haben Sie jetzt alles, was Sie über diese Angriffsformen wissen müssen und wie Sie sie verhindern können.

Wenn Sie eine Liste von Offline-Passwortmanagern benötigen, um Ihre Anmeldedaten zu schützen, werfen Sie einen Blick in unseren detaillierten Leitfaden zu den besten verfügbaren Optionen.

Teilen Sie uns gerne Ihre Erfahrungen mit diesen Brute-Force-Angriffen in den Kommentaren unten mit.

Inhalt

  1. Was ist Passwortspray?
  2. Was ist Credential Stuffing?
  3. Was ist der Unterschied zwischen Passwortspraying und Credential Stuffing?
  4. 1. Ziel des Angriffs
  5. 2. Anforderungen
  6. 3. Betriebsmodus
  7. Wie kann ich Credential Stuffing und Passwortspraying verhindern?
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11