Account-Enumeration
Was ist Account-Enumeration?
Account-EnumerationAngriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.
Account-Enumeration nutzt Unterschiede im Verhalten einer Anwendung zwischen existierenden und nicht existierenden Konten aus: unterschiedliche Fehlermeldungen bei Login, Registrierung oder Passwort-Reset, Timing-Abweichungen oder abweichende HTTP-Statuscodes. Indem ein Angreifer viele Kandidaten-IDs prüft, baut er eine Liste gültiger Konten auf, die anschliessend per Phishing, Credential Stuffing oder Password Spraying angegriffen werden können.
Die Schwachstelle findet sich häufig in Login-Formularen ("Benutzer unbekannt" vs. "Passwort falsch"), beim Passwort-Reset ("E-Mail prüfen" vs. "Konto nicht gefunden") und bei der Registrierung ("E-Mail bereits vergeben"). Sie ist selten das eigentliche Ziel: Enumeration ist ein Aufklärungsschritt, der spätere Angriffe schärft, indem er das Raten überflüssig macht. Ein konkretes aktuelles Beispiel ist CVE-2025-69413 in Gitea (behoben in 1.25.2): Der Endpunkt /api/v1/user lieferte unterscheidbare Antworten für gültige und ungültige Benutzernamen, sodass Angreifer reale Konten vor Credential Stuffing oder Spear-Phishing kartieren konnten.
Selbst bei einheitlichen Fehlermeldungen kann das Timing Informationen preisgeben: Systeme, die das übermittelte Passwort nur dann hashen, wenn der Benutzer existiert, antworten für unbekannte Konten messbar schneller. Robuste Abwehrmassnahmen kombinieren daher generische, identische Meldungen; Code-Pfade mit konstanter Laufzeit (immer einen Dummy-Hash ausführen); generische Benachrichtigungen bei Passwort-Reset und Registrierung; Rate Limiting pro IP und pro Konto; CAPTCHA bei Missbrauch; und MFA, um nachgelagerte Angriffe abzuschwächen. Der Testfall WSTG-IDNT-04 von OWASP beschreibt, wie man darauf prüft.
flowchart TD
A[Angreifer übermittelt Kandidaten-Kennung] --> B{Existiert das Konto?}
B -->|Ja| C["Eindeutiges Signal:<br/>Passwort falsch / langsamer Hash / 200"]
B -->|Nein| D["Eindeutiges Signal:<br/>Benutzer unbekannt / schnelle Antwort / 404"]
C --> E[Kennung als GÜLTIG markieren]
D --> F[Kennung als ungültig markieren]
E --> G[Liste gültiger Konten aufbauen]
G --> H[Credential Stuffing / Phishing / Password Spraying]
C -.einheitliche Meldung + konstante Zeit.-> I[Signale identisch: Enumeration blockiert]
D -.einheitliche Meldung + konstante Zeit.-> I● Beispiele
- 01
Registrierungsformular meldet 'E-Mail bereits in Verwendung' und ermöglicht das Ernten gültiger Adressen.
- 02
Unterschiedliche Antwortzeiten auf /login für bekannte vs. unbekannte Nutzer dienen dem Aufbau einer Account-Liste.
● Häufige Fragen
Was ist Account-Enumeration?
Angriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Account-Enumeration?
Angriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.
Wie schützt man sich gegen Account-Enumeration?
Schutzmaßnahmen gegen Account-Enumeration kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Account-Enumeration?
Übliche alternative Bezeichnungen: Benutzer-Enumeration, Identifier-Enumeration.