Credential Stuffing – warum deine Passwörter nie sicher genug sind"
28 Aug 2025 - Lesezeit: 4 Minuten

Was ist Credential Stuffing?

Credential Stuffing bezeichnet eine Angriffsmethode, bei der gestohlene Benutzername-Passwort-Kombinationen aus Datenlecks automatisiert getestet werden, um Zugang zu fremden Accounts zu erlangen. Das perfide daran: Millionen Nutzer verwenden dieselben Zugangsdaten für verschiedene Dienste. Damit reicht ein einziges kompromittiertes Passwort, um gleich mehrere Konten zu gefährden.

Im Gegensatz zum klassischen Brute-Force-Angriff, bei dem alle möglichen Kombinationen durchprobiert werden, nutzen Angreifer beim Credential Stuffing bereits bekannte Zugangsdaten – was die Erfolgschancen dramatisch erhöht.

Datenlecks als Quelle für Angriffe

Credential Stuffing ist nur möglich, weil Datenleaks und Datenbanken mit kompromittierten Passwörtern immer wieder im Umlauf sind.

Einige wichtige Fakten und Quellen:

  • Auf sizeof.cat finden sich Analysen zu großen Datenlecks und deren Verbreitung.
  • Das GitHub-Projekt WhatBreach bietet Werkzeuge, um Datenlecks gezielt zu durchsuchen.
  • Kaggle stellt umfassende Listen von dokumentierten Sicherheitsvorfällen bereit – oft inklusive Millionen gestohlener Datensätze.
  • Die Plattform Have I Been Pwned ist eine der wichtigsten Ressourcen, um selbst zu prüfen, ob eigene Passwörter bereits kompromittiert sind.

Der Umfang dieser Leaks ist erschreckend: Milliarden von Klartext- oder gehashten Passwörtern zirkulieren in Untergrundforen und sind mit minimalem Aufwand zugänglich.

Wie Credential Stuffing funktioniert

Der Ablauf ist in der Regel automatisiert:

  1. Angreifer sammeln Daten aus bekannten Leaks.
  2. Mit Tools und Bots werden diese Zugangsdaten auf anderen Plattformen ausprobiert.
  3. Dank der Wiederverwendung von Passwörtern reichen oft schon wenige Versuche, um erfolgreich zu sein.
  4. Sobald ein Zugang funktioniert, können Angreifer das Konto für Identitätsdiebstahl, Finanzbetrug oder weitere Angriffe missbrauchen.

Dabei nutzen Angreifer oft auch Rotating-Proxys und Captchasolver, um Sperrungen und Erkennungen zu umgehen.

Warum das so gefährlich ist

  • Wiederverwendung von Passwörtern: Viele Nutzer verwenden dasselbe Passwort für E-Mail, Social Media und Online-Shops.
  • Sichtbarkeit von Leaks: Datenbanken mit kompromittierten Zugangsdaten sind öffentlich oder halb-öffentlich zugänglich.
  • Automatisierung: Angriffe lassen sich mit einfachen Skripten und frei verfügbaren Tools durchführen.

Das Risiko liegt nicht im einzelnen Leak, sondern in der Kombination und Weiterverwendung der Daten.

Schutzmaßnahmen gegen Credential Stuffing

Es gibt wirksame Wege, um sich zu schützen:

  • Einzigartige Passwörter nutzen – niemals dasselbe Passwort für verschiedene Dienste.
  • Passwort-Manager einsetzen – erleichtert die Verwaltung komplexer, individueller Kennwörter.
  • Zwei-Faktor-Authentifizierung (2FA) aktivieren – selbst gestohlene Passwörter sind dann nutzlos.
  • Eigene Daten regelmäßig prüfen – etwa mit Have I Been Pwned.
  • Security-Monitoring für Unternehmen – Dienste wie WhatBreach können helfen, Leaks frühzeitig zu erkennen.

Es wurden noch keine Kommentare verfasst, sei der erste!

Suche