Unter Credential Stuffing versteht man die automatisierte Verwendung von aufgedeckten Kombinationen aus Nutzername und Passwort, um illegal Zugang zu Benutzerkonten zu erhalten und diese gegebenenfalls komplett zu übernehmen.
Der englische Begriff „credential stuffing“ setzt sich zusammen aus „Credentials“, übersetzt Anmeldedaten und “stuffing“, übersetzt füllen, stopfen. Bei diesem Vorgehen wird die Anmelde-Maske einer Website, z. B. eines Online-Shops, automatisch ausgefüllt. Dabei werden lange Listen mit bekannt gewordenen Anmeldedaten abgearbeitet. Das Kalkül dahinter: Einige dieser Anmeldedaten werden noch gültig sein und können dann missbraucht werden, z. B. zum Einkauf in diesem Online-Shop. Diese Listen mit Anmeldedaten stammen aus Vorfällen, bei denen kriminelle Hacker Anmeldedaten erbeuten konnten. Zum Beispiel wenn sie einen E-Mail-Anbieter, einen Online-Shop oder ein Kreditkartenunternehmen gehackt haben und Zugang zu den dort gespeicherten Anmeldedaten erhielten. Diese Listen werden verkauft oder kursieren sogar kostenlos im Internet. Das Credential Stuffing ist immer wieder erfolgreich, da viele Nutzer ihre Passwörter mehrfach verwenden und selten ändern. Dadurch bleiben auch ältere Listen mit Anmeldedaten für Cyberkrimenelle interessant. Das Eingeben der Anmeldedaten erledigen die Hacker nicht händisch, sondern automatisch, über sogenannte Bots. Dadurch können sie nahezu beliebig viele Daten auf ihre Gültigkeit testen. Das Ergebnis: Der IT-Sicherheitsfirma Shape Security zufolge machen Credential Stuffing Versuche im Durchschnitt 80 – 90 % des Login-Traffics eines beliebigen Online-Shops aus.
Im Arbeitsalltag begegnet Ihnen das Thema Credential Stuffing zumeist indirekt. Beispielsweise wenn Sie sich auf einer Website in Ihrem Benutzerkonto anmelden und zusätzlich zu Ihren Anmeldedaten noch Zahlen und Buchstaben aus einem verzerrten Bild eingeben sollen. An diesem sogenannten Captcha-Code scheitern Bots und damit Credential Stuffing Versuche.
Im Rahmen der Perseus IT-Sicherheitsprüfung erfahren Sie, ob Ihre E-Mail-Adresse auf den bekannten Credential Stuffing-Listen erscheint. Ist dies der Fall, sind die folgenden Empfehlungen umso wichtiger für Sie.
Je häufiger Sie Ihr Passwort wechseln, desto schneller verlieren Ihre Anmeldedaten an Aktualität, falls sie gestohlen werden sollten. Ist dies bereits geschehen, sollten Sie alle Passwörter ändern, die Sie in Kombination mit der jeweiligen E-Mail-Adresse nutzen.
Im Idealfall nutzen Sie kein Passwort zweimal. Bei diesem gedächtnistechnischen Kunststück hilft Ihnen ein Passwort-Manager (siehe nächster Absatz). Ist dies aktuell keine Option für Sie, verwenden Sie möglichst viele unterschiedliche Passwörter. Benutzerkonten, deren kriminelle Ausbeutung besonders großen Schaden bedeuten würde, erhalten unbedingt einzigartige, möglichst komplexe Passwörter.
Ein Passwort-Manager ist ein Programm, welches für jedes Benutzerkonto ein individuelles, komplexes Passwort erzeugt und sich dieses für zukünftige Besuche merkt. Sie brauchen sich nur das Passwort für den Passwort-Manager selbst zu merken. Im Allgemeinen bieten Passwort-Manager ein hohes Maß an Sicherheit. Aber unfehlbar sind sie nicht. Da es sich um Programme handelt, können theoretisch auch sie gehackt werden.
Schützen Sie daher möglichst viele Benutzerkonten durch eine Zwei-Faktor-Authentifizierung.
Eine Zwei-Faktor-Authentifizierung bietet sehr viel Sicherheit. Wir empfehlen: Nutzen Sie diese bei allen Konten, die Ihnen die Möglichkeit geben.
Credential stuffing refers to the automated use of disclosed username and password combinations to gain illegal access to user accounts and, if necessary, take them over completely.
The term ‘credential stuffing’ is composed of “credentials” and ‘stuffing’. In this process, the login form of a website, e.g. an online shop, is automatically filled in. Long lists of known login details are processed. The idea behind this is that some of this login data will still be valid and can then be misused, e.g. to make purchases in this online shop. These lists of login data originate from incidents in which criminal hackers were able to steal login data. For example, when they hacked an email provider, an online shop or a credit card company and gained access to the login details stored there. These lists are sold or even circulated free of charge on the internet. Credential stuffing is repeatedly successful because many users reuse their passwords and rarely change them. This means that even older lists of login details remain interesting for cybercriminals. Hackers do not enter the login details manually, but automatically using so-called bots. This allows them to test almost any amount of data for validity. The result: according to IT security company Shape Security, credential stuffing attempts account for an average of 80–90% of the login traffic of any online shop.
In everyday work, you usually encounter credential stuffing indirectly. For example, when you log into your user account on a website and, in addition to your login details, you are asked to enter numbers and letters from a distorted image. Bots and credential stuffing attempts fail at this so-called captcha code.
The Perseus IT security check will tell you whether your email address appears on known credential stuffing lists. If this is the case, the following recommendations are all the more important for you.
The more often you change your password, the faster your login details will become obsolete if they are stolen. If this has already happened, you should change all passwords that you use in combination with the respective email address.
Ideally, you should never use the same password twice. A password manager (see next paragraph) can help you with this memory feat. If this is not currently an option for you, use as many different passwords as possible. User accounts that would cause particularly serious damage if exploited by criminals must be given unique passwords that are as complex as possible.
A password manager is a programme that generates a unique, complex password for each user account and remembers it for future visits. You only need to remember the password for the password manager itself. In general, password managers offer a high level of security. But they are not infallible. Since they are programmes, they can theoretically be hacked.
Therefore, protect as many user accounts as possible with two-factor authentication.
Two-factor authentication offers a high level of security. We recommend using it for all accounts that offer this option.
Kontaktieren Sie uns.
Unser Team ist für Sie da!
Telefon: +49 30 95 999 8080
E-Mail: info@perseus.de
© 2025 Perseus Technologies GmbH. All rights reserved
