Credential stuffing: почему атака работает даже с надёжным паролем
Что такое credential stuffing и почему атака работает даже с надёжным паролем
Сотрудник использует надёжный пароль: длинный, с буквами разного регистра, цифрами и спецсимволами. Но тот же пароль он использует и на рабочем аккаунте, и на интернет-магазине, и на форуме по интересам.
Форум взломали. База пользователей оказалась в открытом доступе. Через три дня злоумышленник автоматически проверил эти же пары логин-пароль на сотне корпоративных сервисов — и вошёл.
Надёжный пароль не помог. Сложность пароля здесь вообще не имеет значения.
Механика атаки
Credential stuffing работает в три шага.
Шаг 1. Получение базы утечки. Ежегодно в публичный доступ утекают миллиарды пар логин-пароль. Базы продаются на теневых форумах за копейки или доступны бесплатно. К 2026 году накопленный объём скомпрометированных учётных данных исчисляется десятками миллиардов записей.
Шаг 2. Автоматизированная проверка. Специализированные инструменты (OpenBullet, SentryMBA и их аналоги) автоматически проверяют пары логин-пароль на целевых сервисах. Скорость — тысячи попыток в минуту. Для корпоративного портала это выглядит как обычный трафик пользователей.
Шаг 3. Использование успешных входов. Из тысяч попыток несколько сработают. Статистика такова: если пароль используется на 5 сервисах и один из них утёк, вероятность успешного входа в корпоративную систему достаточно высока для того чтобы атака была экономически оправдана.
Почему это работает именно в корпоративном контексте
Среднестатистический сотрудник имеет десятки учётных записей на внешних сервисах с корпоративным email. Интернет-магазины, профессиональные сети, отраслевые форумы, сервисы подписок. Многие из них имеют слабую защиту и периодически взламываются.
После каждой такой утечки корпоративный email сотрудника оказывается в базе вместе с паролем. Если этот же пароль используется для корпоративных систем — они скомпрометированы.
Проблема масштабируется. Компания с 200 сотрудниками — это 200 потенциальных точек входа. Каждый сотрудник с повторяющимися паролями создаёт риск для всей организации
Используют ли ваши сотрудники одинаковые пароли для корпоративных систем и внешних сервисов?
BearPass генерирует уникальные случайные пароли для каждой системы и автоматически проверяет их по базам публичных утечек. Credential stuffing против уникальных паролей бессмысленен. До 5 пользователей бесплатно навсегда.
Три меры которые делают credential stuffing бессмысленным
Уникальный пароль для каждой системы. Это единственная мера которая полностью закрывает вектор. Если пароль от корпоративной CRM не совпадает ни с одним другим паролем сотрудника — утечка любого внешнего сервиса не даёт доступ к CRM. Точка.
Проблема в том что человек не может помнить сотню уникальных надёжных паролей. Корпоративный менеджер паролей решает это: генерирует случайный пароль из 20 символов для каждой системы и запоминает его. Сотрудник знает только мастер-пароль и PIN от второго фактора.
Двухфакторная аутентификация. Даже если credential stuffing сработал — пароль угадан правильно — без второго фактора войти не получится. TOTP-код обновляется каждые 30 секунд и физически находится на телефоне сотрудника. Злоумышленнику с базой утечек этот код недоступен.
Мониторинг скомпрометированных паролей. По данным DLBI, атаки на корпоративные системы начинаются через три дня после попадания учётных данных в публичную базу. BearPass проверяет все хранимые пароли через HaveIBeenPwned и уведомляет при обнаружении совпадения. Три дня — достаточное окно для смены пароля до того как атака началась.
Credential stuffing vs password spraying: в чём разница
Оба типа атак используют пароли — но по-разному.
Credential stuffing — берёт реальные пары логин-пароль из конкретных утечек и проверяет их на других сервисах. Предполагает что у злоумышленника есть база с реальными паролями.
Password spraying — берёт список логинов и проверяет несколько распространённых паролей на все аккаунты. Это делается медленно чтобы не сработала защита от перебора. Обычно используют 5–10 наиболее популярных паролей: «Qwerty123!», «Компания2024!», «123456789» и подобные.
Password spraying эффективен против организаций где нет политики паролей — сотрудники сами выбирают простые пароли. Против него работает политика сложности паролей и блокировка при нескольких неудачных попытках.
Credential stuffing эффективен именно там где политика паролей формально соблюдается — сложный пароль используется повторно. Против него работает только уникальность.
Как обнаружить атаку credential stuffing на вашу инфраструктуру
Признаки credential stuffing в журнале событий: множество неудачных попыток входа с разных IP-адресов в течение короткого времени, аномально высокое количество авторизаций в нерабочее время, успешный вход с нетипичного IP после серии неудачных.
Модуль «Правила» в BearPass позволяет настроить уведомление при успешной авторизации с нового IP-адреса. Это не заблокирует атаку, но позволит немедленно отреагировать на успешный вход злоумышленника.
Полноценная защита на уровне инфраструктуры — rate limiting, CAPTCHA, репутационные базы IP — находится вне зоны ответственности менеджера паролей. Но управление паролями закрывает корневую причину уязвимости: повторное использование паролей.
BearPass
Уникальные пароли для каждой системы — credential stuffing теряет смысл
Генератор паролей · Мониторинг утечек · 2FA · Журнал авторизаций On-premise · Реестр РФ №15427 · Шифрование ГОСТ
Credential stuffing — одна из самых распространённых и эффективных атак на корпоративные аккаунты. Она работает не потому что пароли слабые — она работает потому что они одинаковые.
Единственная мера которая полностью закрывает этот вектор — уникальный пароль для каждой системы. Корпоративный менеджер паролей делает это практически осуществимым для всей организации. Добавьте к этому 2FA и мониторинг компрометации — и credential stuffing перестаёт быть угрозой.
BearPass — корпоративный менеджер паролей
Закройте credential stuffing одним решением: уникальные пароли для всей команды
Генератор паролей · 2FA · Мониторинг утечек · Журнал авторизаций On-premise · Данные на вашем сервере · Реестр РФ №15427 · ГОСТ