Prüfen der Logindaten zum Schutz vor Credential-Stuffing-Angriffen
- Lesezeit:
- 7 min
Prüfen der Logindaten zum Schutz vor Credential-Stuffing-Angriffen durch Benutzer
Das Prüfen von Zugangsdaten auf geleakte Login-Informationen ist eine wichtige Schutzmaßnahme gegen Credential-Stuffing-Angriffe, da es dabei hilft, die Verwendung gestohlener Zugangsdaten zu verhindern.
Wenn Benutzer ihre Zugangsdaten auf einer Plattform prüfen, die abgleicht, ob die Daten in der Vergangenheit bereits geleakt wurden, können sie feststellen, ob ihre Zugangsdaten möglicherweise bereits in die Hände von Angreifern gelangt sind. Wenn dies der Fall ist, sollten sie ihr Passwort so schnell wie möglich ändern und gegebenenfalls auch andere Sicherheitsmaßnahmen wie die Aktivierung von Zwei-Faktor-Authentifizierung in Betracht ziehen.
Dies stellt einen einfachen Benutzer jedoch vor folgende Herausforderungen.
Herausforderungen für Benutzer beim Prüfung von Logindaten
- Wissen: Es muss das entsprechende Wissen und Verständnis beim Benutzer von Online-Plattformen um die Gefahren durch Credentital-Stuffing-Angriffe vorhanden sein.
- Kenntnis: Der Benutzer muss von einem entsprechenden Dienst zur Überprüfung geleakter Login-Daten wissen.
- Güte: Bei der Wahl eines möglichen Dienstes zur Überprüfung muss der Benutzer in der Lage sein sicherzustellen, dass der Dienst selbst sicher ist und eine ausreichend große und aktuelle Datenbasis bereitstellt.
- Hinreichend: Der gewählte Dienst muss ausreichend Informationen, zu den Login-Daten, bereitstellen, um dem Benutzer eine valide Entscheidungsgrundlage zu liefern. Beispielsweise ist die Meldung, dass die E-Mailadresse Teil einer Leakdaten-Sammlung ist keine ausreichende Information, da der Benutzer nichts über die Bedrohung bzgl. seiner Login-Daten (E-Mailadresse und Passwort) erfährt.
- Abwägen: Benutzer müssen in der Lage sein betrügerische Dienste von vertrauenswürdigen Diensten zu unterschieden, um nicht ggf. Opfer eines Phishing Angriffs durch eine betrügerische Webseite zu werden.
- Regelmäßigkeit: Es ist notwendig eine entsprechende Prüfung regelmäßig durchzuführen, um einen angemessenen Schutz sicherzustellen.
- Umfassend: Der Benutzer muss sich an alle Online-Konten und die dort gewählten Login-Informationen erinnern und diese konkret prüfen, um seine gesamte Online-Präsenz adäquat zu schützen.
- Nacharbeit: Im Falle eines Treffers bei den Login-Informationen des Benutzers, muss dieser in der Lage sein entsprechende Maßnahmen, wie eine Passwortänderung, bei allen betroffenen Diensten durchzuführen.
Insgesamt stellt die regelmäßige Prüfung von Zugangsdaten auf geleakte Login-Informationen eine wirksame Schutzmaßnahme gegen Credential-Stuffing-Angriffe dar. Ein regulärer Benutzer wird die genannten Herausforderungen jedoch kaum meistern, um in den notwendigen regelmäßigen Abständen alle seine Logins vollständig zu prüfen.
Prüfen der Logindaten zum Schutz vor Credential-Stuffing-Angriffen durch Betreiber von Online-Plattformen
Der Betreiber hat die technische Möglichkeit die Benutzer seiner Plattform effektiv gegen Account-Takeover-Angriffe als Folge von Credential Stuffing zu schützen. Ihm obliegt zudem die Aufgabe (oder Pflicht) ein entsprechendes Sicherheitsniveau sicherzustellen und damit regulatorische Anforderungen zu erfüllen, seine Reputation zu wahren und nicht zuletzt seine Unternehmensgrundlage zu sichern. Unterschiedliche IT-Sicherheitsrichtlinien wie beispielsweise der BSI Grundschutz schreiben entsprechende Prüfungen als verpflichtend vor.
Somit bietet der Einsatz eines spezialisierten Dienstleisters, der auf den Systemen des Betreibers die Login-Informationen der Benutzer gegen bekannte Leak-Daten prüft, einen deutlichen Vorteil gegenüber der individuellen Prüfung der Zugangsdaten durch jeden Benutzer selbst.
Vorteile für Plattformbetreiber durch das integrierte und automatische Prüfen von Logindaten
Zeitersparnis: Die individuelle Prüfung von Zugangsdaten durch jeden Benutzer selbst kann sehr zeitaufwendig sein, da der Benutzer möglicherweise mehrere verschiedene Plattformen aufsuchen und dort seine Zugangsdaten eingeben muss, um zu überprüfen, ob sie geleakt wurden. Ein Dienstleister, der diese Prüfung automatisiert durchführt, kann diese Arbeit deutlich schneller erledigen und den Benutzern somit Zeit ersparen.
Benutzerfreundlichkeit: Die Prüfung der Zugangsdaten kann proaktiv im Hintergrund und ohne aktive Aktion des Benutzers erfolgen. Dies ist im Vergleich zur individuellen Prüfung durch jeden Benutzer deutlich benutzerfreundlicher, da dieser somit weder andere Plattformen besuchen oder zusätzliche Aktionen durchführen muss. Im Falle eines gefährdeten Logins kann der Benutzer automatisiert zur Vergabe eines neuen, sicheren Passwortes aufgefordert werden.
Zuverlässigkeit und Aktualität: Ein Dienstleister, der die Zugangsdatenprüfung anbietet, hat einen entsprechenden Datenbestand an Leak-Daten, der zudem fortlaufend aktualisiert werden muss. Auf diese Weise prüft der Dienstleister die Zugangsdaten des Benutzers zuverlässig gegen bekannte und neueste Leak-Daten, so dass eine genauere Aussage darüber getroffen werden kann, ob das Konto des Benutzers bedroht ist. Ein einmaliger Abgleich mit einer statisch aufgebauten Leak-Datenbank ist nicht ausreichend, um vor zukünftigen Leaks zu schützen.
Regelmäßigkeit: Es ist wichtig, dass Zugangsdaten regelmäßig geprüft werden, um sicherzustellen, dass auch neuste Leak-Datensätze zum Schutz der Zugangsdaten genutzt werden. Ein Dienstleister, der diese Daten anbietet, kann den Betreibern entsprechende Automatismen bereitstellen, um eine regelmäßige Prüfung sicherzustellen und Benutzer über den Status ihrer Zugangsdaten und der Kontosicherheit zu informieren.
Integrierbarkeit: Ein Dienstleister, der die Zugangsdatenprüfung anbietet, realisiert dies über integrierbare Schnittstellen, die es dem Betreiber ermöglichen, die Zugangsdatenprüfung vollständig in seine eigenen Systeme zu integrieren. Auf diese Weise können Benutzer ihre Zugangsdaten bequem über die Plattform des Betreibers prüfen, ohne dass sie auf eine externe Plattform wechseln müssen.
Flexibilität: Das Anbieten möglichst flexibler Schnittstellen zur Zugangsdatenprüfung ist essenziell, um es dem Betreiber der Online-Plattform zu ermöglichen, die Prüfung in seine existierenden Systeme und Abläufe einzubinden. Dies kann beispielsweise als Schritt beim Loginvorgang über eine Webseite oder eine mobile App stattfinden. Mittels einer angebotenen API (Application Programming Interface) kann dies jedoch auch in anderen Prozessschritten geschehen. Dies bietet den Betreibern Flexibilität und ermöglicht es ihnen, die Zugangsdatenprüfung bequem zu für sie passenden Zeitpunkten und bei existierenden Infrastrukturkomponenten einzubinden.
Sicherheit: Ein Dienstleister, der die Zugangsdatenprüfung anbietet, weiß um das höchst sensible Gut der Zugangsdaten von Benutzern. Spezielle Sicherheitsmaßnahmen werden daher schon a priori ergriffen, um zu verhindern, dass die Zugangsdaten der Benutzer in falsche Hände gelangen können. Der explizite Verzicht auf eine Datenübertragung, die Zugangsdaten außerhalb der Systeme des Betreibers eines Online-Portals führt, stellt einen grundlegenden Pfeiler dieser Maßnahmen dar. Dies stellt sicher, dass diese eben nicht abgegriffen, kopiert oder gestohlen werden können. Die Nutzung von Verschlüsselung der Kommunikationskanäle, Private-Set-Intersection und Anonymisierung sind weitere wichtige Sicherheitsmaßnahmen, die vom Anbieter ergriffen werden sollten. Auf diese Weise können Betreiber und Benutzer sicher sein, dass die ihnen anvertrauten Zugangsdaten sicher sind und nicht missbraucht werden können.
Skalierbarkeit: Ein Dienstleister, der die Zugangsdatenprüfung anbietet, kann die notwendige Skalierbarkeit durch Ressourcen und optimierte Prüfungsverfahren anbieten, um auch eine hohen Anzahl von Prüfungen zuverlässig durchführen zu können.
Kundensupport: Angebotene Softwarekomponenten und Tools können im besonderen Maße auf die Kundenbedürfnisse hin zugeschnitten werden und Kundenwünsche können in zukünftige Entwicklungen mit einfließen. Direkte Kontaktmöglichkeiten per Hotline, Kontaktformular oder Live-Chat können genutzt werden, um entsprechende Unterstützung bei Installation und Betrieb zu erhalten.
Umfassende Unterstützung: Ein beauftragter Dienstleister hat sich die Unterstützung seiner Kunden zur Aufgabe gemacht. Er weiß um die inhaltliche Problematik von Credential-Stuffing- und Account-Takeover-Angriffen und damit verbundenen Problemen. Er kann den Betreibern von Online-Plattformen daher als Partner bei Fragen oder Problemen zur Seite stehen. Durch seine Spezialisierung kann ein Dienstleister auch über entsprechende Erfahrung bei der Benutzeransprache im Falle von gefährdeten Logindaten verfügen, von diesen können Kunden entsprechend profitieren. Somit haben Plattformbetreiber die Möglichkeit, schnell und unkompliziert in einen Austausch mit Experten zu treten, falls sie zu der Zugangsdatenprüfung und assoziierten Vorgängen und Prozessen Fragen haben.
Schutz der Privatsphäre: Dienste die das Teilen von Logindaten der Benutzer außerhalb der Infrastruktur des Online-Portalbetreibers fordern, gefährden schon durch ihren technischen Ansatz die Sicherheit dieser Daten. Die Prüfung von Logindaten auf den Systemen des Online-Portalbetreibers schützt direkt die Privatsphäre der Benutzer, da keine zusätzliche Partei Kenntnis über die Logindaten erlangt. Auch wird durch eine lokale Prüfung effektiv verhindert, dass Benutzerdaten für andere Zwecke als die der reinen Sicherheitsüberprüfung verwendet werden können. Es kann damit rein technisch keine Profilbildung stattfinden. Was man nicht teilt, kann auch nicht durch Auftragnehmer anderweitig verwendet oder von Angreifern gestohlen werden. Durch den Einsatz eines Dienstleisters, der die Zugangsdatenprüfung auf den Systemen des Betreibers durchführt, bleiben die Zugangsdaten des Benutzers an einem sicheren Ort und können nicht an Dritte weitergegeben werden.
Kostenersparnis: Schon einzelne Fälle von Account Takeover können für betrügerische Aktivitäten genutzt werden. Resultierende direkte Kosten für beispielsweise Chargebacks, Verlust und entgangenen Gewinn können leicht beziffert werden. Des Weiteren müssen Kosten bzw. Aufwand für den Kundensupport im entsprechenden Fall, Meldung an Behörden (Strafverfolgung & Datenschutz), Dokumentation und die abschließende Aufarbeitung betrachtet werden. Abschließend sind indirektere Aufwände für Reputationspflege nicht zu vergessen. Der Einsatz eines Dienstleisters, der eine zentrale Prüfung von Zugangsdaten automatisiert durchführt und das Risiko von Account-Takeover-Vorfällen somit drastisch senkt, kann daher schnell zu einer realen Kostenersparnis für Betreiber einer Online-Plattform führen.
Ressourcenschonung: Die individuelle Prüfung von Zugangsdaten durch jeden Benutzer selbst kann auch Ressourcen verbrauchen, zum Beispiel wenn der Benutzer mehrere verschiedene Plattformen aufsuchen muss, um seine Zugangsdaten zu prüfen. Ein Dienstleister, der diese Prüfung anbietet, kann Ressourcen schonen, indem er die Prüfung zentralisiert und somit nur eine Plattform für alle Benutzer bereitstellt.
Insgesamt bietet der Einsatz eines Dienstleisters, der auf den Systemen des Betreibers die Login-Informationen der Benutzer gegen bekannte Leak-Daten prüft, somit einen deutlichen Vorteil für Betreiber und Benutzer von Online-Plattformen. Diese Methode ist eine effektive, benutzerfreundliche, zuverlässige Sicherheitsmaßnahme die die Privatsphäre der Benutzer wahrt und die Kosten des Betreibers reduziert und seine Reputation schützt.
Artikel teilen