Ce este Credential Stuffing?
Atac automat in care parolele furate de pe un site sunt testate pe alte site-uri
Definiție Credential Stuffing
Credential stuffing este un atac in care atacatorii folosesc liste de emailuri si parole furate dintr-o scurgere de date (data breach) si le testeaza automat pe alte site-uri. Functioneaza pentru ca multi oameni folosesc aceeasi parola pe mai multe conturi. Protectia: parole unice pe fiecare site, MFA activat, si monitorizarea breaches.
De ce contează Credential Stuffing
Credential stuffing exploateaza faptul ca 65% dintre utilizatori refolosesc aceeasi parola pe mai multe site-uri — cand o baza de date este compromisa, atacatorii incearca automat milioanele de combinatii email-parola pe alte platforme. Conform Akamai, in 2023 s-au inregistrat 193 de miliarde de atacuri credential stuffing la nivel global.
Cum verifici Credential Stuffing
SoftAudit evalueaza mecanismele de protectie ale paginii de autentificare: verifica prezenta rate limiting-ului, CAPTCHA dupa incercari esuate, detectia de cereri automate si headerele de raspuns care indica un WAF activ. Testeaza daca raspunsurile la login diferentiaza intre utilizator inexistent si parola gresita (information leakage).
Verifică securitatea site-ului →Greșeli frecvente
Mesajele de eroare diferite pentru email inexistent versus parola gresita permit atacatorilor sa determine care adrese de email sunt inregistrate pe platforma. Limitarea numarului de incercari doar pe IP este insuficienta — atacatorii distribuie cererile pe mii de IP-uri prin proxy-uri rezidentiale.
Bune practici
Afiseaza un mesaj generic de eroare (Credentiale invalide) indiferent de motiv, implementeaza rate limiting pe cont (nu doar pe IP) si adauga CAPTCHA progresiv dupa 3-5 incercari esuate. Verifica parolele noi contra bazelor de date compromise (API Have I Been Pwned) si incurajeaza activarea MFA.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica credential stuffing pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este Credential Stuffing?
Credential stuffing este un atac in care atacatorii folosesc liste de emailuri si parole furate dintr-o scurgere de date (data breach) si le testeaza automat pe alte site-uri. Functioneaza pentru ca multi oameni folosesc aceeasi parola pe mai multe conturi. Protectia: parole unice pe fiecare site, MFA activat, si monitorizarea breaches.
De ce este important Credential Stuffing pentru un website?
Credential stuffing exploateaza faptul ca 65% dintre utilizatori refolosesc aceeasi parola pe mai multe site-uri — cand o baza de date este compromisa, atacatorii incearca automat milioanele de combinatii email-parola pe alte platforme. Conform Akamai, in 2023 s-au inregistrat 193 de miliarde de atacuri credential stuffing la nivel global.