Credential Stuffing

Angreifer kaufen oder finden Listen mit Millionen E-Mail-Passwort-Paaren aus alten Datenlecks. Anschließend testen Bots diese Kombinationen automatisiert auf hunderten weiteren Webseiten.

Jede erfolgreiche Anmeldung ist ein neuer Zugang, der weiterverkauft oder direkt missbraucht werden kann.

Credential Stuffing ist deshalb so erfolgreich, weil viele Menschen dieselben Passwörter über Jahre und über mehrere Dienste hinweg verwenden. Ein einzelner Leak zieht damit potentiell viele weitere Konten in Mitleidenschaft.

Passwortmanager lösen das Problem strukturell, indem sie pro Dienst ein eigenes, starkes Passwort ermöglichen.

• Gleiches Passwort bei E-Mail, Shopping und Social Media
• Leicht abgewandelte Varianten (Passwort1, Passwort2 ...) - werden ebenfalls getestet
• Konten, die seit Jahren nicht mehr genutzt, aber nie geschlossen wurden
• Lange Aufdeckungszeiten - Sie merken den Angriff oft erst nach Wochen

• Für jeden Dienst ein eigenes, vom Manager generiertes Passwort verwenden
• Datenleck-Scans des Passwortmanagers oder externe Dienste regelmäßig prüfen
• Bei Treffern in einem Leak sofort das betroffene Passwort ändern
• 2FA überall dort aktivieren, wo es angeboten wird
• Alte, nicht mehr genutzte Konten löschen oder zumindest neu absichern

• "Mein Passwort ist nicht in einem Leak" - viele Leaks tauchen erst Jahre später öffentlich auf
• "Wenn ich noch keine Probleme hatte, ist alles gut" - Angreifer warten oft gezielt auf den richtigen Moment
• "Komplexe Passwörter reichen" - entscheidend ist, dass jedes Passwort einzigartig ist

Credential Stuffing ist ein Massengeschäft. Wer für jeden Dienst ein eigenes Passwort nutzt und Datenleck-Warnungen ernst nimmt, entzieht dieser Angriffsklasse fast vollständig die Grundlage.