Unterscheide Credential Stuffing von Password Spraying, einschließlich wie sich beides in den Logs zeigt.
Kurzantwort
Credential Stuffing spielt bekannte Benutzername:Passwort-Paare aus fremden Datenlecks ab und setzt auf Passwort-Wiederverwendung – hohe Erfolgsrate pro Versuch, oft über viele IPs und Geräte verteilt, um menschlich zu wirken. Password Spraying probiert ein oder zwei gängige Passwörter (wie Winter2026!) über viele Konten, um unter den Sperrschwellen zu bleiben. Stuffing nutzt Wiederverwendung aus; Spraying nutzt schwache gemeinsame Passwörter aus. MFA schlägt beide.
Beide Angriffe zielen über die Authentifizierung auf die Übernahme von Konten ab, aber sie nutzen unterschiedliche Schwächen aus und hinterlassen unterschiedliche Spuren. Interviewer stellen diese Frage, um zu sehen, ob du über Angreiferökonomie und Erkennungssignale nachdenkst und nicht nur über „viele fehlgeschlagene Anmeldungen".
Credential Stuffing
Der Angreifer startet mit gültigen Benutzername:Passwort-Paaren aus dem Datenleck einer anderen Person (den Combolists, die aus vergangenen Dumps zirkulieren). Er spielt sie gegen deinen Dienst ab und setzt darauf, dass Nutzer Passwörter wiederverwenden. Weil die Paare anderswo echt sind, ist die Erfolgsrate pro Versuch weit höher als beim Raten. Ausgefeilte Kampagnen laufen über Botnetze, Residential-Proxys und rotierende User Agents, sodass jede Anmeldung wie ein normaler, einzeln gültiger Versuch aussieht – genau das macht sie schwer fassbar.
Password Spraying
Hier hat der Angreifer Benutzernamen, aber nicht die Passwörter, also rät er. Um keine Kontosperre auszulösen, probiert er nur ein oder zwei sehr gängige Passwörter (Winter2026!, Password1) gegen eine große Liste von Konten und wartet dann vor der nächsten Runde. Jedes Konto sieht nur ein oder zwei Fehlschläge, sodass naive „N Fehlschläge = Alarm"-Regeln es übersehen. Das Signal ist die Breite: viele verschiedene Konten, die über die Zeit dasselbe Passwort von derselben Quelle fehlschlagen lassen.
Erkennung und Abwehr
Beim Spraying zähle die verschiedenen anvisierten Konten pro Quelle in einem Zeitfenster. Beim Stuffing achte auf unmögliche Geschwindigkeit, plötzliche Spitzen im Anmeldevolumen, atypisches Gerät/Geo für ein Konto und erhöhte Erfolgsraten von neuer Infrastruktur; Dienste für kompromittierte Passwörter und Bot-Erkennung helfen. Die wirksamste Maßnahme für beides ist MFA, ergänzt durch das Blockieren bekannter geleakter Passwörter und Rate Limiting.
Warum das wichtig ist
Eine starke Antwort benennt die Grundursache jedes Angriffs – Wiederverwendung vs. schwache gemeinsame Passwörter –, nennt die unterschiedlichen Log-Formen und landet bei MFA plus Maßnahmen zur Anmeldedaten-Hygiene. Das zeigt, dass du an der Ursache verteidigst, nicht nur am Symptom.
Wahrscheinliche Anschlussfragen
- Warum macht das Verteilen von Credential Stuffing über viele IPs es schwer erkennbar?
- Welche einzelne Maßnahme reduziert die Auswirkung beider Angriffe am stärksten?
- Wie würdest du Credential Stuffing erkennen, wenn jede Anmeldung einzeln gültig aussieht?