Gissen en graaien, de bedreiging van credential stuffing
Via credential stuffing kunnen hackers duizenden inlogpogingen per minuut ondernemen met data die ze bij vorige inbraken hebben bemachtigd.
In deze tijd van thuiswerken komen credential stuffing-aanvallen steeds vaker voor. Nadat een database is gekraakt, worden bots geprogrammeerd om automatisch combinaties van gebruikersnaam en wachtwoord te proberen. Als de aanvallers inloggegevens aantreffen die werken, kunnen ze profielen inzien en zo toegang krijgen tot waardevolle gegevens. Hierdoor worden onder andere e-commerce fraude, bedrijfsspionage en datadiefstal mogelijk.
Eén gehackt wachtwoord kan een cybercrimineel wereldwijde toegang verschaffen
Hergebruik van wachtwoorden is de belangrijkste oorzaak van datalekken en dat is precies de reden waarom credential stuffing-aanvallen zo gevaarlijk zijn. Google wijst erop dat 65% van de mensen hetzelfde wachtwoord gebruikt voor al hun online accounts. Aanvallers kunnen dus gemakkelijk van één zwak punt profiteren om met gestolen inloggegevens toegang te krijgen tot meerdere accounts.
Geschat wordt dat bedrijven gemiddeld $6 miljoen per jaar verliezen door credential stuffing, waarvan het merendeel te wijten is aan uitvaltijd, hogere beveiligingskosten en inkomstenderving. Regelgevers en slachtoffers beginnen de verantwoordelijkheid voor credential stuffing-aanvallen bovendien bij de getroffen bedrijven te leggen, wat tot boetes en gerechtelijke procedures leidt.
Volgens de Algemene Verordening Gegevensbescherming (AVG) moeten Europese bedrijven veiligheidsmaatregelen nemen tegen datalekken en aanvallen van hackers op gevoelige persoonsgegevens van klanten. Bedrijven die het slachtoffer worden van een aanval, zijn aansprakelijk en kunnen aangeklaagd worden omdat ze gegevens onvoldoende beschermen. Naast het verlies van vertrouwen onder klanten kunnen de financiële gevolgen van gerechtskosten en schikkingsbetalingen elk bedrijf lamleggen.
Oplossing van het wachtwoordprobleem
De meeste gebruikers weten dat ze niet hetzelfde wachtwoord op meerdere sites moeten gebruiken, maar doen dat toch omdat het lastig is om zo veel verschillende wachtwoorden te onthouden. Hoewel wachtwoordmanagers aantoonbaar effectief zijn, vinden sommige gebruikers het niet fijn om hun wachtwoorden toe te vertrouwen aan een externe serviceprovider. Bedrijven die hun klanten serieus willen beschermen tegen de bedreiging van credential stuffing, moeten hun afhankelijkheid van wachtwoorden voor accountbeveiliging heroverwegen.
Gelukkig hebben bedrijven een aantal opties ter beschikking om zich beter tegen de bedreiging van credential stuffing-aanvallen te beschermen.
Wachtwoordloze authenticatie
Wachtwoordloze authenticatie is een manier om gebruikers te verifiëren aan de hand van iets wat ze hebben (zoals een telefoon of een ander account) of iets wat ze zijn (zoals biometrische kenmerken) in plaats van een wachtwoord, zodat alleen geverifieerde gebruikers kunnen inloggen op hun accounts.
Multifactorauthenticatie (MFA)
Een extra beveiligingslaag zorgt ervoor dat opgeslagen wachtwoorden niet gebruikt kunnen worden voor pogingen tot hacken. De aanvallers hebben zo geen toegang tot de secundaire authenticatieoptie, zoals een eenmalige code die naar een met de gebruiker verbonden apparaat wordt verzonden of biometrische authenticatie (bv. gezichtsherkenning).
Hashing van inloggegevens
Hashing van inloggegevens kan beschermen tegen credential stuffing door wachtwoordcombinaties te hashen voordat ze in een database worden opgeslagen. De wachtwoorden van een gebruiker worden hierdoor effectief gecodeerd, dus zelfs als ze worden gestolen, kan een aanvaller ze niet gebruiken. Deze methode kan een credential stuffing-aanval weliswaar niet voorkomen, maar aanvallers wel beperken in wat ze met die wachtwoorden kunnen doen.
Online back-ups: het vangnet
Het is niet de vraag of er een aanval zal plaatsvinden, maar wanneer, vooral wanneer het gaat om toegangsgegevens. Bedrijven moeten zich dus in toenemende mate richten op de cloud en online back-ups als middel om essentiële gegevens te beschermen. Een premium cloudopslagservice die alle essentiële bedrijfsgegevens kan beveiligen in het geval dat iemand zich toegang verschaft, helpt ze daarbij.
Wapen uw bedrijf tegen credential stuffing-aanvallen
Met de beste authenticatiepraktijken en versleutelde online back-ups kunnen bedrijven het risico van een credential stuffing-aanval aanzienlijk verkleinen. De toevoeging van multifactorauthenticatie en het gebruik van minder kwetsbare inlogprocedures (zoals geavanceerde versleuteling) zijn maatregelen die elk bedrijf kan treffen om zijn activiteiten en klanten te beveiligen.
