Credential Stuffing am Edge stoppen
Wie tracio.ai automatisierte Login-Versuche erkennt, bevor sie Ihr Authentifizierungssystem erreichen — durch die Kombination von Device-Fingerprints, Velocity-Checks und Verhaltenssignalen.
Credential Stuffing-Angriffe
nutzen automatisierte Werkzeuge, um gestohlene Benutzername-Passwort-Kombinationen an Login-Seiten durchzuprobieren. Die Angriffe sind gewaltig — ein einzelner Betreiber testet womöglich Millionen von Zugangsdaten pro Tag über Hunderte von Zielseiten. Herkömmliche Abwehrmaßnahmen wie Ratenbegrenzung und CAPTCHAs sind unzureichend, weil Angreifer ihre Anfragen über Tausende von IP-Adressen verteilen und CAPTCHA-Lösungsdienste nutzen. So stoppen wir Credential Stuffing am Edge, bevor die Anfragen Ihr Authentifizierungssystem erreichen.
Die Angriffsfläche
Eine typische Credential-Stuffing-Operation nutzt eine Liste gestohlener Zugangsdaten (auf Darknet-Marktplätzen für gerade einmal $10 pro Million Datensätze verfügbar), ein Automatisierungswerkzeug (üblicherweise ein eigenes Skript oder ein Tool wie OpenBullet) und einen Pool von Proxy-IPs (Residential Proxies, die bei jeder Anfrage rotieren, um IP-basierte Ratenbegrenzung zu umgehen).
Der Angreifer konfiguriert sein Werkzeug so, dass es Login-Anfragen mit kontrollierter Rate sendet — langsam genug, um einfache Ratenlimits nicht auszulösen, aber schnell genug, um Tausende von Zugangsdaten pro Stunde zu testen. Jede Anfrage kommt von einer anderen IP-Adresse mit einem anderen User-Agent-String und lässt es wie einen Strom legitimer Login-Versuche verschiedener Nutzer aussehen.
Warum Ratenbegrenzung versagt
IP-basierte Ratenbegrenzung ist die erste Verteidigungslinie, die die meisten Teams einsetzen, und sie versagt als Erste. Residential-Proxy-Dienste bieten Zugang zu Millionen echter IP-Adressen — Heimrouter, mobile Geräte und IoT-Geräte —, die bei jeder Anfrage rotieren. Aus Sicht des Servers kommt jeder Login-Versuch von einer eindeutigen Residential-IP, die keine Missbrauchshistorie hat.
Kontobasierte Ratenbegrenzung (Begrenzung der Login-Versuche pro Benutzername) ist wirksamer, schafft aber einen Denial-of-Service-Vektor: Ein Angreifer kann legitime Nutzer aussperren, indem er absichtlich mehrere Login-Versuche gegen ihre Benutzernamen scheitern lässt.
Device-Fingerprinting als Fundament
Device-Fingerprinting ändert die Gleichung, weil es das Gerät identifiziert, das den Angriff ausführt, und nicht die IP, die es nutzt. Ein Credential-Stuffing-Werkzeug, das auf einer einzelnen Maschine oder VM-Farm läuft, erzeugt über alle seine Anfragen hinweg einen konsistenten Device-Fingerprint, unabhängig davon, durch welche Proxy-IP es rotiert.
Unsere Bot-Detection-Engine identifiziert die Automatisierungswerkzeuge selbst. Selenium hinterlässt navigator.webdriver-Artefakte. Puppeteer und Playwright haben charakteristische JavaScript-Runtime-Merkmale. Headless-Chrome fehlen bestimmte Browser-APIs, die Chrome mit Oberfläche besitzt. Selbst eigene HTTP-Clients, die kein JavaScript ausführen, werden über TLS-Fingerprinting erkannt — ihre Client-Hello-Nachrichten verraten die zugrunde liegende HTTP-Bibliothek.
Velocity-Tracking pro Gerät
Sobald wir einen stabilen Geräteidentifikator haben (über Device Identification), können wir Velocity-Checks auf Geräteebene statt auf IP-Ebene anwenden. Wenn ein einzelnes Gerät 50 Logins in 5 Minuten versucht — unabhängig davon, von wie vielen verschiedenen IPs diese Anfragen kamen —, ist das Muster unverkennbar Credential Stuffing.
Unser IP-Intelligence-Modul verfolgt die Velocity über drei Zeitfenster: 5 Minuten, 1 Stunde und 24 Stunden. Dieser Mehrfenster-Ansatz fängt sowohl aggressive Angriffe (Hunderte Versuche pro Minute) als auch Slow-and-Low-Angriffe (wenige Versuche pro Stunde, über Tage aufrechterhalten).
Analyse von Verhaltenssignalen
Über Bot-Erkennung und Velocity-Tracking hinaus untersucht unsere Smart-Signals-Analyse Verhaltenssignale, die automatisierte Angriffe von legitimen Logins unterscheiden. Echte Nutzer zeigen natürliche Variation im Timing von Anfragen, in der Tippgeschwindigkeit und in Navigationsmustern. Automatisierte Werkzeuge neigen dazu, mechanisch konsistentes Timing, identische Anfrage-Header und keine Mausbewegung oder Scroll-Ereignisse zu erzeugen.
Wir prüfen außerdem auf Signal-Inkonsistenzen, die auf Environmental-Spoofing hindeuten. Ein Browser, der behauptet, Chrome auf macOS zu sein, aber WebGL-Parameter präsentiert, die mit einer Linux-VM assoziiert sind, wird sofort markiert. Ein User-Agent-String, der nicht zum TLS-Fingerprint passt, löst einen Manipulationsalarm aus.
Edge-Bereitstellung
Der Schlüssel zum Stoppen von Credential Stuffing ist, es zu stoppen, bevor es Ihr Authentifizierungssystem erreicht. Unser Agent lädt auf der Login-Seite und sammelt Signale während des Seitenaufbaus — bevor der Nutzer (oder Bot) Zugangsdaten übermittelt. Die Fingerprint- und Bot-Detection-Ergebnisse liegen vor, sobald das Login-Formular abgeschickt wird, sodass Ihr Server automatisierte Versuche sofort ablehnen kann.
Für Ziele mit hohem Volumen empfehlen wir den Einsatz unserer Cloudflare-Worker- oder CloudFront-Lambda@Edge-Integration, die die Fingerprint-Validierung am CDN-Edge ausführt. Das bedeutet, Credential-Stuffing-Anfragen werden am dem Angreifer nächstgelegenen Edge-Knoten blockiert und erreichen nie Ihre Origin-Server.
Ergebnisse
Unsere Kunden berichten von einer Reduktion des Credential-Stuffing-Volumens um 99 %, nachdem sie tracio.ai auf ihren Login-Seiten eingesetzt haben. Das verbleibende 1 % besteht aus hochgradig ausgefeilten Angriffen mit vollständiger Browser-Automatisierung und sorgfältig gefälschten Signalen — die von unserer Multi-Methoden-Erkennung innerhalb der ersten paar Dutzend Anfragen gefangen werden, sobald Velocity-Muster hervortreten.