Het voorkomen van het compromitteren van inloggegevens en het overleven van een dergelijke compromittering is in theorie mogelijk, maar in de praktijk erg lastig en lijkt niet eenvoudiger te worden. Het begrip 'credentials' vindt zijn oorsprong in het Latijnse woord 'creder', wat 'geloven' betekent. Waar men in de Middeleeuwen vertrouwde op fysieke documenten die iemands identiteit bevestigden, zijn deze papieren in de digitale wereld vervangen door virtuele credentials die bewijzen dat iemand is wie hij zegt te zijn.

In de cyberwereld worden credentials grofweg onderverdeeld in twee categorieën: die voor menselijke identiteiten en die voor machines of niet-menselijke entiteiten. Menselijke credentials omvatten onder meer wachtwoorden, passkeys, biometrische gegevens en tokens, terwijl machine-credentials bestaan uit API-sleutels, SSH-keys, certificaten en sessietokens. Vooral sessietokens verdienen aandacht, omdat een organisatie met enkele duizenden medewerkers vaak honderdduizenden actieve tokens heeft, die regelmatig worden buitgemaakt door zogenaamde infostealers, zoals toegelicht door Ran Geva, CEO en medeoprichter van Webz.io.

Er zijn twee fases te onderscheiden: het stelen van credentials wordt 'credential compromise' genoemd, terwijl het misbruiken ervan leidt tot een datalek of inbraak met 'compromised credentials'. Geva benadrukt dat compromittering niet betekent dat de credentials al zijn gebruikt, maar dat ze niet langer exclusief onder controle zijn van de rechtmatige gebruiker. Worden ze gebruikt, dan worden ze automatisch vertrouwd als legitiem. Erin Meyers, identiteitsdeskundige bij Huntress, legt uit dat aanvallers hierdoor niet op traditionele wijze inbreken, maar simpelweg inloggen of een reeds geauthenticeerde sessie hergebruiken, waardoor kwaadaardige activiteiten opgaan in normaal toegangsverkeer.

Ariel Parnes, medeoprichter en COO bij Mitiga, bevestigt dat deze activiteiten vanuit het systeem als geautoriseerd worden gezien, wat detectie bemoeilijkt. Volgens Dan Schiappa, president technologie en diensten bij Arctic Wolf, is credential compromise een van de meest gebruikte tactieken door dreigingsactoren, omdat het weinig technische vaardigheid vereist en toch eenvoudig toegang geeft tot doelomgevingen. Vaak volstaan alleen een gebruikersnaam en wachtwoord, wat het risico vergroot, zeker bij hergebruik van credentials, aldus Bob Long, president Americas bij Daon.

Daarnaast waarschuwt Reinhard Hochrieser, SVP product en technologie bij Jumio, dat ook burgerservicenummers en overheidsidentificaties als credentials worden beschouwd. Fraudeurs gebruiken deze gegevens voor geavanceerde aanvallen, waaronder manipulatie van ID’s en het creëren van AI-gegenereerde deepfakes om biometrische controles te omzeilen. Dit maakt ook kleinere doelwitten, zoals particulieren, interessant voor fraudeurs.

Jan Bee, CISO bij TeamViewer, vat samen dat credential compromise aanvallers in staat stelt perimeterbeveiliging te omzeilen, detectie te ontwijken en binnen vertrouwde workflows te opereren. Hierdoor is het beschermen van alleen de infrastructuur niet langer voldoende; continue bescherming van identiteit is essentieel. Voordat een datalek kan ontstaan door compromittering, moeten de credentials eerst worden gestolen. Hoewel het moeilijk is om diefstal volledig te voorkomen, moet het zo lastig mogelijk worden gemaakt.