Account-Enumeration
Was ist Account-Enumeration?
Account-EnumerationAngriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.
Account-Enumeration nutzt Unterschiede im Verhalten einer Anwendung zwischen existierenden und nicht existierenden Konten: unterschiedliche Fehlermeldungen bei Login, Registrierung oder Passwort-Reset, Timing-Unterschiede oder abweichende HTTP-Statuscodes. Indem ein Angreifer viele Kandidaten-IDs prüft, erzeugt er eine Liste gültiger Konten, die anschliessend per Phishing, Credential Stuffing oder Password Spraying angegriffen werden können. Die Schwachstelle findet sich häufig in Login-Formularen ("Benutzer unbekannt" vs. "Passwort falsch"), Passwort-Reset ("E-Mail prüfen" vs. "Konto nicht gefunden") und Registrierung ("E-Mail bereits vergeben"). Gegenmittel sind einheitliche Fehlermeldungen, konstante Antwortzeiten, generische Hinweise, Rate Limiting pro IP und Konto, CAPTCHA und MFA gegen Folgeangriffe.
● Beispiele
- 01
Registrierungsformular meldet 'E-Mail bereits in Verwendung' und ermöglicht das Ernten gültiger Adressen.
- 02
Unterschiedliche Antwortzeiten auf /login für bekannte vs. unbekannte Nutzer dienen dem Aufbau einer Account-Liste.
● Häufige Fragen
Was ist Account-Enumeration?
Angriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Account-Enumeration?
Angriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.
Wie funktioniert Account-Enumeration?
Account-Enumeration nutzt Unterschiede im Verhalten einer Anwendung zwischen existierenden und nicht existierenden Konten: unterschiedliche Fehlermeldungen bei Login, Registrierung oder Passwort-Reset, Timing-Unterschiede oder abweichende HTTP-Statuscodes. Indem ein Angreifer viele Kandidaten-IDs prüft, erzeugt er eine Liste gültiger Konten, die anschliessend per Phishing, Credential Stuffing oder Password Spraying angegriffen werden können. Die Schwachstelle findet sich häufig in Login-Formularen ("Benutzer unbekannt" vs. "Passwort falsch"), Passwort-Reset ("E-Mail prüfen" vs. "Konto nicht gefunden") und Registrierung ("E-Mail bereits vergeben"). Gegenmittel sind einheitliche Fehlermeldungen, konstante Antwortzeiten, generische Hinweise, Rate Limiting pro IP und Konto, CAPTCHA und MFA gegen Folgeangriffe.
Wie schützt man sich gegen Account-Enumeration?
Schutzmaßnahmen gegen Account-Enumeration kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Account-Enumeration?
Übliche alternative Bezeichnungen: Benutzer-Enumeration, Identifier-Enumeration.
● Verwandte Begriffe
- identity-access№ 1196
Username-Enumeration
Sonderfall der Account-Enumeration, bei dem die Antworten der Anwendung verraten, ob ein bestimmter Benutzername existiert, und so Folgeangriffe gezielter ermöglichen.
- attacks№ 232
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
- attacks№ 800
Password Spraying
Langsamer, breit gestreuter Angriff, der wenige gängige Passwörter gegen viele Konten testet und dabei unter Lockout- und Rate-Limit-Schwellen bleibt.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- network-security№ 904
Rate Limiting
Rate Limiting begrenzt die Anzahl von Anfragen, die ein Identifier (IP, User, API-Key oder Token) in einem Zeitfenster stellen darf, und schuetzt APIs und Apps vor Missbrauch, Scraping und Brute-Force.