Spezialprogrammen ermöglichen es Hackern mittlerweile, in großem Stil User-Passwort-Kombinationen zu knacken. MFA (Multi-Faktor-Authentifizierung) blockiert zwar den Angriff, behebt aber nicht das eigentliche Problem: die Vereinbarkeit zwischen Datenschutz und Nutzerfreundlichkeit.
Das Cyber-Risiko steigt mit der Zunahme von Unternehmen im digitalen Services für Kunden und Mitarbeiter. Besonders dort its es für Hacker interessant, große Mengen von Nutzerdaten abzugreifen um damit z.B. illegale Online-Käufe zu tätigen.
Credential-Stuffing-Angriffe werden sich in 2020 zu einer der größten Herausforderungen für Unternehmen entwickeln, wenn es um die digitale Sicherheit von Nutzerdaten geht.
Der Begriff „Credential Stuffing“ bedeutet in diesem Zusammenhang, eine Art des Hackings, die über verschiedene Methoden versucht, gestohlene Nutzer-Passwort-Kombinationen zu testen, um damit Nutzerkonten zu missbrauchen (z.B. für Web-Shops oder Online-Banking). Sie versuchen, teils automatisiert über Botnetze, an die Nutzerkonten zu gelangen.
Zugangsdaten sind oft unzureichend komplex
Ein weiterer Punkt, ist die Tatsache, dass viele Nutzer eher nachlässig mit ihren Passwörtern sowie ihren digitalen Identitäten insgesamt umgehen. Das Abgreifen von Login-Daten mit Bots werden von den Betroffenen meisst kaum wahrgenommen.
Laut einer aktuellen Google-Studie verwenden ganze 59 Prozent aller Nutzer für mehrere Konten dieselben Passwörter. Genau dieses Verhalten machen sich dann die Angreifer beim Credential Stuffing zunutze. Allein in 2019 gingen 29 Prozent aller Datenschutzverletzungen auf das Konto dieser Methodik – Tendenz steigend.
Multifaktor-Authentifizierung helfen
Längst nicht alle Unternehmen nutzen die Multifaktor-Authentifizierung. Ein MFA-geschütztes Konto ist nur unter massiven Zeit- und Arbeitsaufwand zu hacken, da immer ein Endgerät benötigt wird. Es würde einen solchen Angriff im großen Stil nahezu unmöglich machen. Der erhöhte Sicherheitsgewinn ist oft mühsam für den Kunden umzusetzen, daher verzichten viele darauf.
Datensicherheit und Nutzerfreundlichkeit vereinbaren
Die Kunst, Credential Stuffing effektiv zu begegnen ist es also, Nutzerkonten auf Dauer zu schützen, ohne aber die Nutzerfreundlichkeit für einen Service zu riskieren.