Что такое credential stuffing и почему атака работает даже с надёжным паролем
Сотрудник использует надёжный пароль: длинный, с буквами разного регистра, цифрами и спецсимволами. Но тот же пароль он использует и на рабочем аккаунте, и на интернет-магазине, и на форуме по интересам.
Форум взломали. База пользователей оказалась в открытом доступе. Через три дня злоумышленник автоматически проверил эти же пары логин-пароль на сотне корпоративных сервисов — и вошёл.
Надёжный пароль не помог. Сложность пароля здесь вообще не имеет значения.
Механика атаки
Credential stuffing работает в три шага.
Шаг 1. Получение базы утечки. Ежегодно в публичный доступ утекают миллиарды пар логин-пароль. Базы продаются на теневых форумах за копейки или доступны бесплатно. К 2026 году накопленный объём скомпрометированных учётных данных исчисляется десятками миллиардов записей.
Шаг 2. Автоматизированная проверка. Специализированные инструменты (OpenBullet, SentryMBA и их аналоги) автоматически проверяют пары логин-пароль на целевых сервисах. Скорость — тысячи попыток в минуту. Для корпоративного портала это выглядит как обычный трафик пользователей.
Шаг 3. Использование успешных входов. Из тысяч попыток несколько сработают. Статистика такова: если пароль используется на 5 сервисах и один из них утёк, вероятность успешного входа в корпоративную систему достаточно высока для того чтобы атака была экономически оправдана.
Почему это работает именно в корпоративном контексте
Среднестатистический сотрудник имеет десятки учётных записей на внешних сервисах с корпоративным email. Интернет-магазины, профессиональные сети, отраслевые форумы, сервисы подписок. Многие из них имеют слабую защиту и периодически взламываются.
После каждой такой утечки корпоративный email сотрудника оказывается в базе вместе с паролем. Если этот же пароль используется для корпоративных систем — они скомпрометированы.
Проблема масштабируется. Компания с 200 сотрудниками — это 200 потенциальных точек входа. Каждый сотрудник с повторяющимися паролями создаёт риск для всей организации
Три меры которые делают credential stuffing бессмысленным
Уникальный пароль для каждой системы. Это единственная мера которая полностью закрывает вектор. Если пароль от корпоративной CRM не совпадает ни с одним другим паролем сотрудника — утечка любого внешнего сервиса не даёт доступ к CRM. Точка.
Проблема в том что человек не может помнить сотню уникальных надёжных паролей. Корпоративный менеджер паролей решает это: генерирует случайный пароль из 20 символов для каждой системы и запоминает его. Сотрудник знает только мастер-пароль и PIN от второго фактора.
Двухфакторная аутентификация. Даже если credential stuffing сработал — пароль угадан правильно — без второго фактора войти не получится. TOTP-код обновляется каждые 30 секунд и физически находится на телефоне сотрудника. Злоумышленнику с базой утечек этот код недоступен.
Мониторинг скомпрометированных паролей. По данным DLBI, атаки на корпоративные системы начинаются через три дня после попадания учётных данных в публичную базу. BearPass проверяет все хранимые пароли через HaveIBeenPwned и уведомляет при обнаружении совпадения. Три дня — достаточное окно для смены пароля до того как атака началась.
Credential stuffing vs password spraying: в чём разница
Оба типа атак используют пароли — но по-разному.
Credential stuffing — берёт реальные пары логин-пароль из конкретных утечек и проверяет их на других сервисах. Предполагает что у злоумышленника есть база с реальными паролями.
Password spraying — берёт список логинов и проверяет несколько распространённых паролей на все аккаунты. Это делается медленно чтобы не сработала защита от перебора. Обычно используют 5–10 наиболее популярных паролей: «Qwerty123!», «Компания2024!», «123456789» и подобные.
Password spraying эффективен против организаций где нет политики паролей — сотрудники сами выбирают простые пароли. Против него работает политика сложности паролей и блокировка при нескольких неудачных попытках.
Credential stuffing эффективен именно там где политика паролей формально соблюдается — сложный пароль используется повторно. Против него работает только уникальность.
Как обнаружить атаку credential stuffing на вашу инфраструктуру
Признаки credential stuffing в журнале событий: множество неудачных попыток входа с разных IP-адресов в течение короткого времени, аномально высокое количество авторизаций в нерабочее время, успешный вход с нетипичного IP после серии неудачных.
Модуль «Правила» в BearPass позволяет настроить уведомление при успешной авторизации с нового IP-адреса. Это не заблокирует атаку, но позволит немедленно отреагировать на успешный вход злоумышленника.
Полноценная защита на уровне инфраструктуры — rate limiting, CAPTCHA, репутационные базы IP — находится вне зоны ответственности менеджера паролей. Но управление паролями закрывает корневую причину уязвимости: повторное использование паролей.
Итог
Credential stuffing — одна из самых распространённых и эффективных атак на корпоративные аккаунты. Она работает не потому что пароли слабые — она работает потому что они одинаковые.
Единственная мера которая полностью закрывает этот вектор — уникальный пароль для каждой системы. Корпоративный менеджер паролей делает это практически осуществимым для всей организации. Добавьте к этому 2FA и мониторинг компрометации — и credential stuffing перестаёт быть угрозой.