Inloggen
Gratis proefabonnement

Hoe voorkomt u Credential Stuffing-aanvallen op uw website?

captcha.eu

Credential stuffing-aanvallen gebruiken echte wachtwoorden die gestolen zijn uit eerdere inbraken, geen giswerk. Daardoor zijn ze sneller, moeilijker te detecteren en schadelijker dan brute kracht. Deze gids behandelt de zes verdedigingsmechanismen die ze tegenhouden, wat u moet doen als er al een aanval gaande is en welke eindpunten u als eerste moet beschermen.

Geschatte leestijd: 16 minuten

Probeer CAPTCHA.eu gratis - zonder creditcard
Alle integraties weergeven

In een oogopslag

Wat maakt het anders?

Aanvallers gebruiken echte, werkende wachtwoorden van eerdere inbraken, geen willekeurige gissingen. Aanmeldingspogingen zien er op het eerste gezicht legitiem uit

Waarom het slaagt

Ongeveer 85% van de gebruikers hergebruikt wachtwoorden voor meerdere services. Zelfs een slagingspercentage van 0,1% op één miljard referenties levert één miljoen gecompromitteerde accounts op.

Sterkste verdediging

MFA. Het voorkomt accountovername, zelfs als de aanvaller het juiste wachtwoord heeft. Uit gegevens van Microsoft blijkt dat het meer dan 99% van geautomatiseerde aanvallen blokkeert.

Waarom CAPTCHA hier past

Proof-of-work CAPTCHA houdt bots tegen voordat ze je aanmeldingslogica bereiken en verhoogt de kosten van elke poging, ongeacht of de inloggegevens geldig zijn.

Wat deze gids behandelt

Hoe credential stuffing werkt

Elk groot datalek heeft een neveneffect: een lijst met werkende gebruikersnamen en wachtwoorden belandt op het dark web. Aanvallers kopen deze lijsten goedkoop, soms voor maar een paar dollar per miljoen records, en testen ze dan automatisch tegen andere diensten. De logica is eenvoudig: als iemand hetzelfde e-mailadres en wachtwoord gebruikt voor een inbraak op een winkelsite en voor zijn bankrekening, heeft de aanvaller nu toegang tot beide.

Een typische credential stuffing campagne gaat als volgt:

  1. Inloggegevens verwerven. Aanvallers kopen of downloaden databases met inbreuken op dark web-marktplaatsen. Lijsten met miljarden gebruikersnaam-wachtwoordparen zijn overal verkrijgbaar en goedkoop.
  2. De lijst voorbereiden. Tools verrijken de ruwe gegevens, ontdubbelen ze en formatteren ze voor geautomatiseerd testen op meerdere doellocaties.
  3. Gedistribueerde aanmeldingspogingen starten. Bots sturen gelijktijdig aanmeldingsverzoeken naar duizenden IP-adressen en gebruiken echte browserhandtekeningen om op te gaan in het normale verkeer. Elk IP verstuurt slechts een handvol verzoeken, zodat de drempelwaarden voor de snelheid niet worden overschreden.
  4. Verzamel successen stil. Wanneer een aanmelding slaagt, registreert de bot dit. De aanvaller verkoopt dan de werkende gegevens, neemt het account over, haalt de opgeslagen waarde af of gebruikt het als een uitvalsbasis voor verdere aanvallen.

Het belangrijkste detail is dat de aanvaller nooit hoeft te raden. Ze herhalen wachtwoorden die ergens anders al werkten. Dat verandert alles aan hoe de aanval eruit ziet en hoe je hem detecteert.

Credential stuffing vs. brute kracht: wat is het verschil?

Beide aanvallen zijn gericht op aanmeldingsformulieren en beide gebruiken automatisering. Verder zijn het heel verschillende problemen die verschillende verdedigingen vereisen.

De eenvoudigste manier om het verschil te begrijpen

Zie brute kracht als een slotenmaker die elke mogelijke sleutelcombinatie op je slot probeert. Het kost tijd, het maakt lawaai en het is duidelijk wanneer het gebeurt. Credential stuffing is iemand die jouw sleutel heeft gevonden in een gevonden voorwerpen doos en deze stilletjes uitprobeert op jouw deur. De sleutel ziet er echt uit omdat hij echt is. De enige vraag is of je het slot hebt veranderd na de oorspronkelijke inbreuk.

ASPECT
VULLING VAN REFERENTIES
BRUTE KRACHT
Wachtwoord bron
Echte wachtwoorden gestolen bij eerdere inbreuken
Gegenereerde gissingen: willekeurige combinaties, woordenboeken
Slagingspercentage
Laag per poging (~0,1%), maar enorm op schaal
Zeer laag; sterk afhankelijk van wachtwoordsterkte
Snelheid
Zeer snel; verdeeld over duizenden IP's
Langzamer; activeert snel blokkades en snelheidslimieten
Moeilijkheid bij detectie
Hard: verzoeken zien eruit als normale gebruikerslogins
Gemakkelijker: veel mislukte pogingen op één account vallen op
Helpt het wachtwoordbeleid?
Nee: de aanvaller heeft al een werkend wachtwoord
Ja: langere, complexe wachtwoorden vertragen de aanval
Primaire verdediging
MFA, CAPTCHA, controle op gebroken wachtwoorden
Accountvergrendeling, tariefbeperking, CAPTCHA, MFA

De op één na laatste rij is het belangrijkst. Sterke wachtwoordregels beschermen goed tegen brute kracht omdat ze het raden moeilijker maken. Tegen credential stuffing bieden ze bijna geen bescherming, omdat de aanvaller niet aan het raden is. Ze hebben je wachtwoord al. Dit is waarom de twee aanvallen verschillende manieren van denken vereisen, ook al hebben ze een aantal gemeenschappelijke verdedigingen.

Voor een diepere kijk op brute kracht, zie onze gids over hoe brute kracht aanvallen voorkomen.

Waarom "credential stuffing" zo moeilijk op te sporen is

Dit is de kern van de uitdaging. Wanneer een brute force aanval wordt uitgevoerd, laat deze duidelijke sporen achter: tientallen of honderden mislukte aanmeldpogingen tegen hetzelfde account vanaf hetzelfde IP-adres. Uw logboeken lichten op. Monitoringprogramma's vuren waarschuwingen af.

Credential stuffing laat bijna geen van deze sporen achter. De aanvaller verdeelt verzoeken over duizenden verschillende IP-adressen. Elk IP stuurt slechts één of twee verzoeken. De credentials zijn correct, dus veel pogingen slagen direct. Er zijn geen herhaalde mislukkingen op hetzelfde account. Het verkeer ziet er precies zo uit als normale gebruikers die inloggen vanaf verschillende locaties.

Het resultaat is dat veel credential stuffing aanvallen maandenlang onopgemerkt blijven. In het geval van 23andMe brachten aanvallers vijf maanden door op het platform voordat het bedrijf ontdekte wat er was gebeurd. Ze kwamen er alleen achter omdat gestolen gegevens te koop werden aangeboden op een hackerforum, niet omdat interne bewaking iets ontdekte.

De verborgen kosten van succesvolle aanvallen

Volgens het 'Cost of a Data Breach Report 2025' van IBM kost een inbreuk wereldwijd gemiddeld $4,44 miljoen en duurt het gemiddeld 241 dagen om de inbreuk te identificeren en in te dammen. De financiële schade omvat het herstellen van fraude, het informeren van klanten, boetes van regelgevende instanties en reputatieschade, bovenop de directe verliezen door gecompromitteerde accounts.

Een voorbeeld uit de praktijk: 23andMe

In oktober 2023 onthulde het genetische testbedrijf 23andMe een 'credential stuffing'-aanval die uiteindelijk de persoonlijke gegevens van ongeveer 6,9 miljoen gebruikers blootlegde. Door de omvang van de inbreuk is dit een van de duidelijkste casestudy's over hoe het volstoppen met referenties kan escaleren tot ver voorbij de aanvankelijke compromittering.

Casestudie: 23andMe (2023)

Aanvallers verkregen lijsten met referenties van eerdere, niet-gerelateerde datalekken en gebruikten deze om toegang te krijgen tot 23andMe-accounts waarvan de eigenaars wachtwoorden hadden hergebruikt. Ongeveer 14.000 accounts werden rechtstreeks gecompromitteerd via deze methode. De functie “DNA Relatives” van 23andMe, waarmee gebruikers genetische vooroudergegevens kunnen delen met gekoppelde profielen, heeft de inbreuk echter dramatisch vergroot. Door toegang te krijgen tot 14.000 accounts, kon de aanvaller verbonden gegevens van nog eens 5,5 miljoen profielen scrapen, en Family Tree gegevens van nog eens 1,4 miljoen profielen. Van geen van deze extra gebruikers waren de accounts direct gecompromitteerd. Hun gegevens waren simpelweg blootgesteld omdat een verbonden gebruiker een wachtwoord had hergebruikt.

Het detectiegat van vijf maanden (de aanval liep van april tot september 2023 en werd pas ontdekt toen gestolen gegevens op BreachForums verschenen) benadrukt het falen van de bewaking waardoor credential stuffing geruisloos kan plaatsvinden. 23andMe verplichtte vervolgens tot het opnieuw instellen van wachtwoorden en introduceerde tweestapsverificatie. Het bedrijf werd geconfronteerd met een class action settlement van $30 miljoen en vroeg in maart 2025 faillissement aan. Toezichthouders in het Verenigd Koninkrijk en Canada stelden vast dat adequate controlemechanismen ontbraken.

Het 23andMe lek illustreert drie lessen die van toepassing zijn op bijna elke website met gebruikersaccounts. Ten eerste brengen de wachtwoorden van uw gebruikers van andere sites uw platform in gevaar, zelfs als u nooit bent geschonden. Ten tweede kunnen platformfuncties die accounts met elkaar verbinden de impact van één gecompromitteerde aanmelding vermenigvuldigen. Ten derde, als je niet op de juiste signalen let, zul je niet weten dat er een aanval gaande is totdat iemand anders het je vertelt.

Zes verdedigingen die werken

  • Multi-factor verificatie

    MFA is de meest effectieve verdediging tegen credential stuffing. De reden is structureel: zelfs als een aanvaller de juiste gebruikersnaam en het juiste wachtwoord heeft, vereist MFA een tweede verificatiestap (een tijdgebaseerde code, een pushmelding of een hardwaresleutel) die de aanvaller niet heeft. Microsofts analyse van incidenten waarbij accounts werden gecompromitteerd, wees uit dat MFA meer dan 99% van deze incidenten zou hebben voorkomen. Dat cijfer is direct van toepassing op credential stuffing, omdat het hele aanvalsmodel afhankelijk is van het feit dat een gestolen wachtwoord voldoende is om in te loggen. Voor websitebeheerders is de prioriteit eenvoudig: maak MFA verplicht voor beheerdersaccounts en accounts met hoge rechten en bied het aan alle gebruikers aan. Als je MFA niet voor elke gebruiker kunt afdwingen, zet het dan in voor acties met een hoog risico: accountgegevens wijzigen, betalingsstromen en wachtwoorden resetten. FIDO2 passkeys en authenticator apps worden nu breed ondersteund en verminderen de wrijving die MFA in het verleden impopulair maakte bij gebruikers.

MFA alleen stopt het aanvalsverkeer niet

MFA voorkomt accountovername, maar houdt bots niet tegen om aanmeldpogingen in te dienen. Duizenden MFA-geblokkeerde pogingen raken nog steeds je server, verbruiken bronnen en genereren ruis in je logs. Daarom werkt MFA het beste in combinatie met de lagen eronder.

  • Bewijs-van-werk CAPTCHA op aanmeldings- en verificatiestromen

    CAPTCHA werkt op een ander punt in de aanvalsketen dan MFA. In plaats van het blokkeren van accountovername na een succesvolle login, verhoogt CAPTCHA de kosten van elke loginpoging voordat het je authenticatielogica bereikt. Dit is enorm belangrijk voor credential stuffing, waarbij aanvallers vertrouwen op het goedkoop en automatisch verzenden van miljoenen verzoeken. Het type CAPTCHA is hier van belang. AI-gebaseerde tools voor het oplossen van verzoeken en diensten voor het oplossen van verzoeken door mensen.” Traditionele visuele CAPTCHA (afbeeldingsrasters, “Ik ben geen robot”-vakjes) wordt steeds vaker omzeild door AI-gebaseerde tools voor het oplossen en menselijke diensten voor het oplossen. Tegen een aanvaller met voldoende middelen die een grote "credential stuffing"-campagne uitvoert, biedt een visuele CAPTCHA minder bescherming dan het lijkt. Proof-of-work CAPTCHA is structureel anders. In plaats van een visuele puzzel, moet de browser een kleine cryptografische berekening uitvoeren voordat het inlogverzoek door kan gaan. Voor een echte gebruiker gebeurt dit onzichtbaar op de achtergrond. Voor een bot die duizenden inlogpogingen per minuut doet, vereist elke poging nu rekenwerk, waardoor de kosten hoger worden ongeacht het vermogen van de aanvaller om afbeeldingen op te lossen. De OWASP Credential Stuffing Prevention Cheat Sheet identificeert CAPTCHA als een van de belangrijkste controlemechanismen voor het vertragen van credential stuffing aanvallen, waarbij specifiek wordt gewezen op de rol die CAPTCHA speelt bij het verhogen van de kosten en tijd van geautomatiseerde aanmeldpogingen.

CAPTCHA.eu houdt bots tegen voordat ze uw aanmeldingslogica bereiken

Onzichtbare proof-of-work verificatie bij elke inlogpoging. Geen beeldpuzzels. Geen cookies. Alle gegevens verwerkt in Oostenrijk onder EU-wetgeving. WACA Silver gecertificeerd door TÜV Oostenrijk tegen WCAG 2.2 AA.

Gratis proefabonnement starten
Bekijk hoe inlogmisbruik werkt

  • Controle op inbraak op wachtwoord

    Deze verdediging wordt te weinig gebruikt en is zeer effectief. Wanneer een gebruiker een account aanmaakt of zijn wachtwoord wijzigt, controleert je systeem het nieuwe wachtwoord aan de hand van een database met referenties waarvan bekend is dat ze bij eerdere datalekken zijn onthuld. Als er een overeenkomst wordt gevonden, wordt het wachtwoord geweigerd en wordt de gebruiker gevraagd een ander wachtwoord te kiezen. In het onderzoek van de openbare aanklager van de staat New York naar "credential stuffing" werd het controleren van inbreuken op wachtwoorden aangemerkt als een van de meest effectieve controles die beschikbaar zijn voor operators, met name omdat het voorkomt dat gebruikers accounts aanmaken met wachtwoorden die al circuleren in databases van aanvallers. De service Have I Been Pwned biedt een gratis API voor precies dit doel, waarmee je wachtwoorden kunt vergelijken met miljarden bekende geschonden wachtwoorden zonder het eigenlijke wachtwoord door te sturen. Deze controle stopt een aanval die al bezig is niet, maar het vermindert je blootstelling aanzienlijk na verloop van tijd door je meest kwetsbare accounts te elimineren voordat aanvallers ze bereiken.

  • Snelheidsbeperking en anomaliedetectie

    Standaard IP-gebaseerde rate limiting (het blokkeren van een IP na een ingesteld aantal mislukte aanmeldpogingen) is minder effectief tegen credential stuffing dan tegen brute kracht, omdat elk IP in een stuffing campagne meestal maar één of twee verzoeken doet. Rate limiting speelt echter nog steeds een belangrijke rol als het doordacht wordt toegepast. De meer effectieve aanpak combineert drempelwaarden per account met globale anomaliedetectie. Drempelwaarden per account markeren wanneer dezelfde account aanmeldpogingen ontvangt van veel verschillende IP's in een korte periode. Globale anomaliedetectie markeert wanneer uw aanmeldingspunt plotseling aanzienlijk meer verkeer ontvangt dan de basislijn, zelfs als geen enkel individueel account of IP zich verdacht gedraagt. Samen vangen deze patronen gedistribueerde campagnes die eenvoudige IP-snelheidsbeperking omzeilen. Andere signalen die de moeite waard zijn om in de gaten te houden: aanmeldpogingen die afkomstig zijn van bekende IP-bereiken van proxy's of hostingproviders, aanmeldingen vanaf ongebruikelijke geografische locaties voor bestaande accounts en succesvolle aanmeldingen die onmiddellijk gevolgd worden door wijzigingen in de accountgegevens. De OWASP Credential Stuffing Cheat Sheet raadt aan om meerdere signalen te combineren in plaats van te vertrouwen op een enkele drempelwaarde.

  • Consistente foutmeldingen bij mislukte aanmeldingen

    Dit is een klein detail dat er meer toe doet dan het lijkt. Als je aanmeldpagina verschillende berichten geeft voor “verkeerd wachtwoord” versus “account bestaat niet”, kunnen aanvallers deze verschillen gebruiken om te valideren welke gebruikersnamen in hun lijst echte accounts zijn. Een eenvoudige verandering: retourneer altijd hetzelfde algemene bericht, ongeacht of de gebruikersnaam bestaat of het wachtwoord fout is. “E-mailadres of wachtwoord is onjuist” zegt niets. “We konden geen account vinden met dat e-mailadres” is een cadeautje voor een aanvaller die een gevalideerde gebruikersnamenlijst opbouwt. Dezelfde logica geldt voor het resetten van wachtwoorden. Verschillende antwoorden geven voor geldige versus ongeldige e-mailadressen stelt aanvallers in staat om je gebruikersbestand te inventariseren zonder enige inloggegevens.

  • Gebruikersmelding en -bewaking

    Zelfs met al het bovenstaande op zijn plaats zullen sommige aanvallen slagen. Snelle detectie beperkt de schade. De meest effectieve controlesignalen voor credential stuffing zijn anders dan die voor brute kracht. Let op: een algemene toename van het aantal aanmeldingen zonder een overeenkomstige toename van succesvolle aanmeldingen, succesvolle aanmeldingen vanaf onbekende geografische locaties of apparaten voor bestaande accounts, accountgegevens die kort na het aanmelden worden gewijzigd (e-mailadres, wachtwoord, verzendadres) en een verhoogd aantal aanvragen voor het opnieuw instellen van wachtwoorden. Breng gebruikers onmiddellijk op de hoogte wanneer ze vanaf een nieuw apparaat of een nieuwe locatie op hun account zijn ingelogd. Geef gebruikers inzicht in hun recente aanmeldgeschiedenis. Als ze kunnen zien dat iemand in een ander land zich om 3 uur 's nachts heeft aangemeld, kunnen ze actie ondernemen voordat de aanvaller blijvende schade aanricht. Dit verschuift ook een deel van de detectielast van uw beveiligingsteam naar uw gebruikers, wat beter schaalbaar is dan gecentraliseerde monitoring alleen.

Waar te beginnen: welke eindpunten eerst te beschermen

Pas deze verdedigingen eerst toe op je stromen met het hoogste risico. Inlogformulieren zijn het primaire doelwit, omdat een succesvolle inlog met credential stuffing de aanvaller direct volledige accounttoegang geeft. Geef na het inloggen prioriteit aan het resetten van wachtwoorden, waarbij verschillende reacties voor geldige versus ongeldige e-mailadressen aanvallers in staat stellen om echte accounts op te sommen zonder dat ze daarvoor referenties nodig hebben. Dan API-authenticatie-eindpunten, die vaak niet de bescherming bieden die wordt toegepast op webaanmeldingsformulieren. Tot slot registratieformulieren, waar succesvolle opvulling valse of gekloonde accounts kan creëren. Bescherm in die volgorde en je dekt het overgrote deel van het aanvalsoppervlak voor credential stuffing.

Als er al een aanval loopt: onmiddellijke stappen

Voor het detecteren van een credential stuffing aanval zijn andere signalen nodig dan je zou verwachten. Omdat individuele aanvragen er normaal uitzien, zijn de duidelijkste signalen patronen op volumeniveau: een plotselinge piek in aanmeldverkeer, een ongebruikelijke verhouding tussen succesvolle en mislukte aanmeldingen, of nieuwe accounts die worden aangemaakt met patronen die wijzen op automatisering (opeenvolgende gebruikersnamen, identieke browserhandtekeningen, bulkregistraties in een kort venster).

Als je een actieve aanval identificeert, beperkt deze reeks de schade:

  • CAPTCHA onmiddellijk inschakelen of verscherpen.

    Zelfs het inzetten van proof-of-work CAPTCHA halverwege de aanval verhoogt de kosten voor bots die nog steeds pogingen indienen en kan de campagne binnen enkele minuten vertragen of stoppen.

  • Pas tijdelijke geo-blokkering of proxy-blokkering toe op het aanmeldingseindpunt.

    Credential stuffing-verkeer loopt vaak via reeksen van hostingproviders en open proxies. Cloudflare en soortgelijke diensten publiceren IP-lijsten hiervoor. Ze blokkeren is niet perfect, maar levert tijd op.

  • Forceer MFA of herauthenticatie op accounts met afwijkende activiteiten.

    Elke account die succesvol is aangemeld vanaf een ongebruikelijke locatie of apparaat moet worden gecontroleerd voordat de sessie wordt voortgezet.

  • Stel wachtwoorden opnieuw in voor accounts die verdacht succesvolle aanmeldingen laten zien.

    Breng getroffen gebruikers op de hoogte met duidelijke instructies. Wees specifiek: leg uit dat hun inloggegevens bij een eerdere inbreuk elders kunnen zijn achterhaald en dat ze hetzelfde wachtwoord niet op andere services moeten gebruiken.

  • Controleer op downstreamactiviteit in gecompromitteerde accounts.

    Accountgegevens wijzigen, betaalmethoden toevoegen, stored-value inwisselen en gegevens exporteren zijn de acties die een aanvaller onderneemt nadat hij is binnengedrongen. Bekijk deze in de periode rond de aanval.

  • Bewaar je logboeken voor het volledige aanvalsvenster.

    Onder GDPR en NIS2 heb je mogelijk meldingsplichten als er persoonlijke gegevens zijn geraadpleegd. Ruwe logbestanden vormen de basis van elke incidentrespons of indiening van wettelijke documenten.

CAPTCHA.eu in enkele minuten toevoegen aan uw aanmeldingsflow

WordPress, TYPO3, Keycloak, Magento en aangepaste stacks. Austria-hosted, cookieless, geen puzzels voor echte gebruikers. 100 gratis aanvragen om te beginnen.

Gratis proefabonnement starten
Alle integraties bekijken

De EU-dimensie: waarom "credential stuffing" een GDPR-kwestie is

Voor Europese websitebeheerders is een succesvolle 'credential stuffing'-aanval niet zomaar een beveiligingsincident. Onder de GDPR vormt onbevoegde toegang tot persoonlijke gegevens in gebruikersaccounts een inbreuk op persoonsgegevens en brengt dit een 72-uurs meldingsplicht met zich mee voor uw toezichthoudende autoriteit, evenals een mogelijke kennisgeving aan getroffen gebruikers. De zaak 23andMe resulteerde in onderzoeken door de Britse Information Commissioner's Office en de Office of the Privacy Commissioner of Canada, deels omdat de detectiefout een tijdige melding van de inbreuk verhinderde.

Dit heeft een directe invloed op hoe je over credential stuffing verdedigingen denkt. Het inzetten van CAPTCHA en MFA is niet alleen een beveiligingsbeslissing. Het maakt ook deel uit van je GDPR Artikel 32 verplichting om “passende technische maatregelen” te implementeren om persoonsgegevens te beschermen. Als je dit niet doet, en vervolgens een inbreuk pleegt, kom je in een lastig parket tijdens een wettelijke controle.

De keuze voor een CAPTCHA heeft ook gevolgen voor de compliance. Traditionele CAPTCHA-diensten plaatsen gewoonlijk tracking cookies op aanmeldingspagina's, waardoor ePrivacy-toestemmingsvereisten worden geactiveerd en de complexiteit van uw toestemmingsbeheer wordt vergroot. CAPTCHA.eu werkt door zijn architectuur zonder cookies, waardoor de compliance-kwestie volledig wordt weggenomen voor operators die botbescherming willen zonder toestemmingsoverhead op verificatiestromen.

Veelgestelde vragen

Wat is credential stuffing in eenvoudige bewoordingen?

Credential stuffing is wanneer aanvallers gebruikersnamen en wachtwoorden stelen van één website en deze automatisch uitproberen op andere websites. Het werkt omdat veel mensen hetzelfde wachtwoord hergebruiken voor meerdere diensten. De aanvaller raadt niet. Ze gebruiken echte referenties die al ergens anders werkten.

Hoe verschilt credential stuffing van een brute force aanval?

Brute force-aanvallen raden wachtwoorden door vallen en opstaan, waarbij combinaties worden uitgeprobeerd totdat er één werkt. Credential stuffing gebruikt bekende, werkende wachtwoorden van eerdere inbraken. Brute force is eenvoudig te detecteren omdat het veel mislukte aanmeldingspogingen genereert. Credential stuffing is veel moeilijker op te sporen omdat de gegevens correct zijn en het verkeer eruitziet alsof legitieme gebruikers inloggen.

Houdt CAPTCHA het vullen van referenties tegen?

Ja, maar het type is belangrijk. Traditionele CAPTCHA op basis van afbeeldingen wordt steeds vaker omzeild door AI-gebaseerde tools voor het oplossen van problemen. Proof-of-work CAPTCHA is effectiever omdat het een cryptografische berekening vereist voor elke aanmeldingspoging, waardoor de kosten van een grootschalige opvulcampagne toenemen, ongeacht het beeldherkenningsvermogen van de aanvaller. CAPTCHA werkt het beste als één van meerdere lagen, gecombineerd met MFA en anomaliedetectie.

Wat is de meest effectieve verdediging tegen credential stuffing?

MFA is de sterkste controle omdat het accountovername stopt, zelfs als de aanvaller het juiste wachtwoord heeft. Naast MFA is de meest effectieve combinatie: proof-of-work CAPTCHA op aanmeldingspunten, screening op gebroken wachtwoorden bij registratie en wachtwoordwijziging en anomaliemonitoring op ongebruikelijke aanmeldingspatronen. Geen enkele laag alleen is voldoende.

Hoe weet ik of mijn website wordt aangevallen met credential stuffing?

In tegenstelling tot brute kracht, genereert credential stuffing geen duidelijke pieken bij mislukte aanmeldingen op afzonderlijke accounts. De duidelijkste signalen zijn: een algemene toename van het aantal aanmeldingen zonder een overeenkomstige toename van de pagina-activiteit, succesvolle aanmeldingen vanaf ongebruikelijke locaties of apparaten voor bestaande accounts, accountgegevens die kort na het aanmelden worden gewijzigd en verhoogde aantallen aanvragen voor het opnieuw instellen van wachtwoorden. Moderne CAPTCHA-dashboards bieden gegevens over het verificatievolume die ongebruikelijke verkeerspatronen vroegtijdig aan het licht kunnen brengen.

Is credential stuffing een GDPR-kwestie voor Europese websites?

Ja. Als een 'credential stuffing'-aanval leidt tot onbevoegde toegang tot accountgegevens van gebruikers, dan is dat een inbreuk op persoonsgegevens onder de GDPR. Dit brengt een 72-uurs meldingsplicht met zich mee voor je toezichthoudende autoriteit en mogelijk ook voor de getroffen gebruikers. Het inzetten van passende technische controles, waaronder CAPTCHA en MFA, maakt deel uit van je GDPR artikel 32 verplichting om persoonsgegevens te beschermen met passende technische maatregelen.

Voorkomt een sterk wachtwoordbeleid "credential stuffing"?

Nee. Wachtwoordbeleid beschermt tegen brute kracht door raden moeilijker te maken. Tegen credential stuffing biedt het bijna geen bescherming. De aanvaller heeft al een werkend wachtwoord. Wat wel helpt is het screenen van geschonden wachtwoorden (voorkomen dat gebruikers wachtwoorden instellen die al bij eerdere schendingen zijn onthuld) en MFA (een correct wachtwoord alleen ontoereikend maken).

Welke flows moet ik prioriteit geven voor bescherming tegen credential stuffing?

Aanmeldingsformulieren zijn het primaire doelwit. Maar bescherm ook: wachtwoord reset-flows (waar verschillende reacties voor geldige versus ongeldige e-mails aanvallers gebruikersnamen laten valideren), registratieformulieren (waar dezelfde logica geldt) en API-verificatie-eindpunten (die vaak niet de bescherming hebben die wordt toegepast op webaanmeldingsformulieren). Stel prioriteiten in die volgorde.

Gerelateerde lezen

Primaire bronnen

OWASP Preventie van gegevensvrijgave (Credential Stuffing) spiekbriefjeAanbevelingen voor gelaagde verdediging en detectierichtlijnen
Procureur-generaal van de staat New York: Zakelijke gids voor aanvallen op het vullen van referenties: bevindingen van regelgevende onderzoeken en controleaanbevelingen
Microsoft Beveiligingsblog: MFA blokkeert meer dan 99,9% van aanvallen waarbij accounts worden gecompromitteerd
Ben ik gepaaid? Gekraakte wachtwoorden API: aanbevolen gratis tool voor het screenen van geschonden wachtwoorden bij registratie en het wijzigen van wachtwoorden
IBM-rapport 2025 over de kosten van een datalek: $4,44M wereldwijde gemiddelde inbreukkosten, 241 dagen gemiddelde tijd om te identificeren en in te perken
Rapport 2025 over onderzoeken naar inbreuken op gegevens van Verizongestolen referenties betrokken bij ongeveer een derde van alle inbreuken; bij 88% van de inbreuken binnen hackpatronen werden gestolen referenties gebruikt
23andMe Form 8-K/A SEC filing, december 2023primaire bron bevestigt dat 14.000 accounts zijn gecompromitteerd via "credential stuffing" en dat 6,9 miljoen gebruikers zijn getroffen via de functie DNA-verwanten

Recente berichten

nl_NLDutch
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish it_ITItalian nl_NLDutch