Auth0 pakt credential stuffing aan met Bot Detection

Abonneer je gratis op Techzine!

Auth0 komt met Bot Detection, een nieuwe feature die de effectiviteit van credential stuffing-aanvallen moet verminderen. Volgens de Identity and Access Management (IAM)-leverancier neemt de effectiviteit met 85 procent af en zijn er minimale gevolgen voor de gebruikerservaring.

Bij credential stuffing worden gestolen gebruikersnamen en wachtwoorden gebruikt om in te loggen in systemen. De aanvallen hergebruiken de accountgegevens uit een datalek om de toegang te verkrijgen, aangezien gebruikers vaak dezelfde gebruikersnaam en wachtwoord inzetten. Hiervoor zetten ze doorgaans bots in, zodat de aanvallen geautomatiseerd en op grote schaal uitgevoerd worden.

Detecteren en voorkomen

Auth0 wil deze botgestuurde aanvallen dus identificeren en bestrijden met Bot Detection. Het gebruikt hiervoor onder meer risicosignalen die wijzen op verdachte activiteiten. Zo maakt het onderscheid tussen niet-verdachte- en verdachte activiteiten. Bij niet-verdachte activiteiten kan je denken aan succesvolle aanmeldingen, terwijl talrijke mislukte aanmeldpogingen verdacht zijn.

Als er daadwerkelijk verdacht verkeer wordt geïdentificeerd, moet een CAPTCHA-stap uitsluitsel geven of de aanmeldpoging menselijk of van een bot is. Met CAPTCHA wordt er bijvoorbeeld een scherm met vervaagde tekst getoond, die vaak alleen een mens kan identificeren en invoeren.

Noodzaak

Door met Bot Detection foutief verkeer eruit te filteren, zou de effectiviteit van een aanval mogelijk met 85 procent verlagen. Volgens Auth0 is dit broodnodig aangezien Auth0 dagelijks gemiddeld 175.000 unieke verdachte IP-adressen ziet. Ook besparen bedrijven door de blokkeerfunctie essentiële tijd en middelen, aldus Auth0.

“De afgelopen jaren hebben we een stijging gezien in het aantal botaanvallen. Ze worden steeds geavanceerder en bedrijven investeren daardoor steeds meer in beveiliging. Doordat wij zo nauw betrokken zijn bij het aanmelden van applicaties met een dienst die meer dan 4,5 miljard aanmeldtransacties per maand beveiligt, hebben wij een unieke voordeelpositie voor het snel identificeren en blokkeren van verdachte activiteiten voordat ze schade aanrichten. Daarom is Bot Detection zeer effectief in het voorkomen van accountovernames en verlaagt de oplossing de druk op ontwikkelings- en beveiligingsteams”, aldus Auth0-CTO Matias Woloski.

Tip: Auth0 helpt ontwikkelaars identiteit in applicaties te bouwen