Lektion 06 — Credential stuffing

Credential stuffing är inte gissning. Det är kvitto-jagande. Botten har redan en lista över riktiga e-post + lösenord från en gammal läcka, och testar exakt den kombinationen mot vartenda annat ställe på internet.

01Vad är credential stuffing?

Föreställ dig att en sajt blev hackad 2018 och din e-post + lösenord hamnade i en läcka. Sedan dess har den listan rört sig runt — bytts mellan kriminella, slagits ihop med andra läckor, hamnat i offentliga "combolists" på 8 miljarder rader.

En credential stuffing-bot tar listan och testar varje rad mot Spotify, Netflix, Instagram, Steam, banken, Klarna, Riksbyggen. Lite från varje. Den gissar inte — den vet redan att e-post X + lösenord Y en gång var ett giltigt par någonstans. Frågan är bara om du återanvänt det.

Brute force försöker komma på lösenordet. Credential stuffing har redan lösenordet — den letar bara efter alla sajter du också använt det på.

02Lyckas det? Mycket bekvämt.

Studier från Akamai och Microsoft visar att 0,1–2 % av credential stuffing-försök lyckas. Det låter lågt — tills du inser hur många försök som körs.

En läcka med 50 miljoner par × 1 % lyckandegrad = 500 000 övertagna konton
Per dag, globalt: hundratals miljoner försök bara mot stora sajter
Spotify, Netflix m.fl. publicerar "incident reports" med tusentals till miljoner ATO:er per kvartal

Det är därför nyligen meddelandet "din Spotify spelar Pakistani metal kl 3 på natten" är vanligare än man tror. Inte för att din Spotify var hackad — för att lösenordet återanvändes från någon annan sajt.

03Se dominoeffekten

Här är två scenarier. I det ena återanvänder du samma lösenord på alla sajter. I det andra har du unika lösenord per sajt. Tryck simulera attack och se hur det utvecklar sig.

Scenario:

RetroForumet.se utgångspunkt — läckte 2018

Spotify väntar

Instagram väntar

Steam väntar

Gmail väntar

Banken väntar

Förenklat: i verkligheten testas ditt lösenordspar mot hundratals sajter, inte bara sex. Banken är ofta sista anhalt — den är värdefullast.

04Tre praktiska sanningar

Det räcker att en sajt läcker. En av sajterna du registrerat dig på kommer att läcka. Statistiskt — alla läcker till slut. Det är en fråga om när, inte om.
Mejlen är ditt största återanvändnings-värdet. Med ditt mejl-lösenord kan en angripare återställa lösenordet på allt annat. Banken, sociala medier, allt.
Unika lösenord per sajt är enda försvaret. Och det är inte möjligt att memorera. Därför finns lösenordshanterare (lektion 7).

Trick: "Jag använder samma lösenord men lägger till sajtens namn — t.ex. kanin123-spotify och kanin123-netflix." Det skyddar dig marginellt — anfallare med tillgång till flera dumps ser snart mönstret och justerar attacker.

Credential stuffing är en industri. Verktyg: OpenBullet, Sentry MBA. Datakälla: combolists från historiska läckor + nya breach-dumps. Infrastruktur: residential proxy-nätverk för att undvika rate limiting. Marknad: ATO-as-a-service med fasta prislistor per sajt.

01Pipeline

Combolist: en .txt-fil med email:password-par, miljoner rader. RockYou2021 (8,4 miljarder rader, 100 GB) eller COMB 2021 (3,2 miljarder par) är offentliga referenser.
Config: ett konfig-script i OpenBullet eller motsvarande. Specifierar request-flow för en target-sajt — URL, headers, hur captcha hanteras, vad som räknas som "lyckad inloggning".
Proxy pool: tiotusentals residential IPs (Bright Data, Smartproxy, eller stulna botnet-noder). Roterar IP per request för att undvika rate limit.
Distribution: jobbet körs på 1000+ noder parallellt. 50 miljoner par på 50 sajter klart på dagar.
Output: en fil med valid-par för varje sajt. Säljs eller används direkt.

02Lyckandegrad & faktorer

Akamai's data (2023): genomsnitt 0,5–2 % lyckandegrad mot stora consumer-sajter. Skillnaden beror på:

Hur gammal combolist: färska läckor (< 6 månader) ger 2-3 %. Listor > 5 år gamla: 0,1–0,5 %.
Sajtens defenses: rate limiting, device fingerprinting, anomaly detection sänker lyckandegraden men eliminerar inte den.
Population: consumer-sajter (Spotify) lyckas mer än enterprise (Microsoft 365 med MFA) — men även enterprise faller via legacy auth.

03Försvar (för dig som användare)

Unika lösenord per sajt — primärt skydd, gör credential stuffing per definition oanvändbart.
Phishing-resistent 2FA på minst mejl + bank. Helst på allt som finns. Se lektion 8.
Aliasade mejl: SimpleLogin / addy.io / Apple Hide My Email. Skapa spotify-83a@dittalias.se som vidarebefordrar till din riktiga mejl. Combolists blir per definition kontaminerade — mejlet är inte återanvändbart mot andra sajter.
HIBP-prenumeration: registrera ditt mejl för notifieringar. Du får mejl när nya läckor inkluderar dig.

04Försvar (för dig som bygger sajt)

Rate limiting per IP + per konto + per identifier-prefix. Combolist-attacker har stora IP-pooler — bara IP-baserad rate limiting räcker inte.
Device fingerprinting (Cloudflare Bot Management, hCaptcha Enterprise, Fingerprint.com). Detekterar headless browsers och OpenBullet-typiska beteenden.
HIBP Pwned Passwords-integration (samma API säkerkoll använder): blockera kända komprometterade lösenord vid registrering. NIST 800-63B-rekommenderat.
Adaptive auth: kräv 2FA-utmaning vid ovanlig IP, ny enhet, eller hög-värdesopperation.
Notify-on-success-from-new-device: mejl till användaren när en ny enhet loggar in. Sker det för credential stuffing-attacker hinner användaren reagera.

05Account takeover (ATO) marketplace

Komprometterade konton är produkter. Prislistor finns offentligt på kriminella forum:

Netflix-konto · 5–25 kr
Spotify Family · 30–80 kr
Steam (med spel) · 100–500 kr
Office 365 enterprise · 500–5 000 kr
Bankkonto (med saldo) · ~5 % av saldot

Hela kategorin "ATO-as-a-service" — bedrägeri-aktörer som hyr in credential stuffing från specialister, betalar per verified hit, och sysslar själva bara med monetiseringen (sälja, swipea, utpressa, identitetsstöld).

06Vad kommer härnäst

Passkeys (lektion 9) ÄR försvaret mot credential stuffing — för att det inte finns något "lösenord" att stoppa in i en lista. Privata nycklar finns bara på din enhet. När alla större sajter har stött passkeys (~2026–2028) krymper credential stuffing-marknaden dramatiskt.

Tills dess: unika lösenord + lösenordshanterare + 2FA på allt viktigt.

Credential stuffing — varför återanvändning dödar.

01Vad är credential stuffing?

02Lyckas det? Mycket bekvämt.

03Se dominoeffekten

04Tre praktiska sanningar

01Pipeline

02Lyckandegrad & faktorer

03Försvar (för dig som användare)

04Försvar (för dig som bygger sajt)

05Account takeover (ATO) marketplace

06Vad kommer härnäst

Snabb-koll — tre frågor

Lektion 07 — Lösenordshanterare — varför alla borde ha en