O credential stuffing é um ataque automatizado que repete, em escala, pares de utilizador e palavra-passe divulgados em fugas de dados passadas contra os seus endpoints de login. Os atacantes apostam na reutilização de palavras-passe: um par roubado de um site funciona muitas vezes em dezenas de outros. Não é adivinhar. As credenciais já são válidas, e o atacante está a verificar onde é que ainda desbloqueiam uma conta.
A seguir explicamos como funciona o ataque, porque continua a compensar, como é que os bots de agentes de IA o tornam mais difícil de apanhar, e quais os sinais e controlos no login que o detetam e travam.
O que é o credential stuffing e porque é que funciona?
A mecânica é simples. Os atacantes montam combolists de pares de utilizador e palavra-passe divulgados e depois passam-nos por ferramentas automatizadas contra a API de login de um alvo. Não precisam de uma taxa de acerto elevada. Mesmo uma fração de um por cento ao longo de milhões de tentativas produz milhares de contas funcionais.
Funciona porque as pessoas reutilizam palavras-passe. Dois em cada três americanos reutilizam palavras-passe entre contas, segundo a security.org, o que significa que uma única fuga compromete muito mais do que o serviço afetado. Essa reutilização é toda a base económica do ataque.
O credential stuffing é distinto do brute force, e a diferença importa para a deteção:
- Brute force adivinha muitas palavras-passe contra uma só conta. O tráfego é ruidoso e fácil de limitar por taxa.
- Credential stuffing repete pares sabidamente válidos em muitas contas. O tráfego parece-se mais com logins normais, com taxas de sucesso mais altas e menor volume por conta.
Como as credenciais são reais e o volume por conta é baixo, o stuffing mistura-se com o tráfego de login legítimo. É por isso que um único limiar raramente o apanha.
Como é que os bots de agentes de IA agravam o credential stuffing?
As ferramentas de stuffing mais antigas eram grosseiras: taxas de pedidos altas a partir de um punhado de IPs, user agents por omissão, sem browser real. Os limites de taxa e a deteção básica de bots davam conta da maior parte. Essa era está a acabar.
A nova vaga corre através de browsers furtivos e agentes de IA que se comportam muito mais como pessoas. Estes:
- Rodam fingerprints de dispositivo e de browser entre tentativas, para evitar serem agrupados
- Resolvem CAPTCHAs, incluindo desafios de imagem e comportamentais
- Imitam o ritmo humano, o movimento do rato e os padrões de navegação
- Distribuem o tráfego por grandes pools de proxies residenciais para vencer os limites baseados em IP
- Adaptam-se em tempo real à forma como as suas defesas respondem
Os kits de browsers furtivos fazem agora parte do conjunto-padrão de ferramentas de automação. As instalações do playwright-stealth, um de muitos kits de browser furtivo, aumentaram 10x ao longo de 2025 segundo a investigação da cside. As ferramentas para correr logins automatizados convincentes são baratas e amplamente disponíveis.
As defesas que só inspecionam sinais ao nível da rede perdem metade da imagem. O browser é onde o bot opera, e onde estão as pistas.
Que sinais no login revelam o credential stuffing?
A deteção resulta melhor como uma combinação de sinais, e não como uma só regra. A Credential Stuffing Prevention Cheat Sheet da OWASP recomenda dispor controlos em camadas em vez de depender de uma única verificação, porque os atacantes afinam o seu comportamento para passar despercebidos a limiares individuais.
A tabela abaixo mapeia os sinais de maior valor ao que indicam e como agir sobre eles.
| Sinal | O que indica | Como agir |
|---|---|---|
| Pico de login / pico de velocidade | Repetição por script de muitos pares de credenciais contra o seu endpoint | Limitar a taxa e estrangular por IP, por conta e por fingerprint; intensificar os desafios |
| Fingerprint de browser headless ou furtivo | Automação a fazer-se passar por um browser real | Bloquear ou desafiar a sessão; encaminhar para a deteção de bots e de agentes de IA |
| Muitas contas a partir de um dispositivo ou browser | Um único ator a testar uma combolist em várias contas | Sinalizar o dispositivo e exigir verificação reforçada em cada tentativa |
| Viagem impossível | A mesma conta a fazer login a partir de localizações inalcançáveis no tempo decorrido | Forçar a reautenticação e rever as alterações recentes à conta |
| Correspondência com credenciais comprometidas | O par submetido aparece em dados de fugas conhecidas | Forçar a reposição da palavra-passe antes do acesso; bloquear a credencial na reposição |
| Rácio elevado de falha-depois-sucesso | Sondagem que acaba por acertar num par válido | Pôr a sessão em quarentena e exigir MFA resistente a phishing |
| VPN, proxy ou IP sabidamente malicioso | Tráfego encaminhado para ocultar a origem ou a reutilizar uma fonte sinalizada | Aumentar a pontuação de risco; combinar com outros sinais antes de bloquear |
Nenhuma linha isolada é prova por si só. A deteção mais forte surge quando várias disparam em conjunto numa só sessão, por exemplo um fingerprint de browser furtivo mais um pico de login mais uma correspondência com credenciais comprometidas. Um utilizador real quase nunca produz essa combinação.
É também aqui que a visibilidade ao nível do browser importa. Os picos de login e a reputação de IP aparecem do lado do servidor, mas os browsers furtivos, a rotação de fingerprints e o comportamento de agentes de IA só surgem quando se consegue ler o que o browser está de facto a fazer.
Como travar o credential stuffing?
A deteção diz-lhe que um ataque está em curso. Travá-lo exige controlos em camadas, para que contornar um deles não entregue a conta. Trabalhe estes pela seguinte ordem:
- Imponha MFA resistente a phishing nos logins de elevado valor. As passkeys e as chaves de segurança de hardware são resistentes a phishing e derrotam por completo as credenciais repetidas, porque uma palavra-passe válida só por si não basta. A OWASP designa o MFA como uma defesa primária contra o credential stuffing. Os códigos únicos por SMS e por e-mail são mais fracos, pelo que deve reservar os métodos mais fortes para os fluxos sensíveis.
- Bloqueie palavras-passe sabidamente comprometidas. Verifique as palavras-passe contra bases de dados de fugas no registo e na reposição, e rejeite as correspondências. Se uma credencial atual aparecer mais tarde numa fuga, force uma reposição antes de um atacante a poder usar.
- Limite a taxa e estrangule os endpoints de login. Aplique limites por IP, por conta e por fingerprint de dispositivo, e não apenas por IP, uma vez que os atacantes se distribuem por pools de proxies. Acrescente atrasos progressivos e desafios à medida que o risco sobe.
- Acrescente fingerprinting mais deteção de bots e de agentes de IA. Use fingerprinting de browser e de dispositivo para identificar a automação, os browsers furtivos e os agentes de IA que rodam fingerprints e resolvem CAPTCHAs. Filtre esse tráfego antes de chegar à autenticação.
- Responda depressa quando uma sessão parecer comprometida. Revogue as sessões ativas, invalide os tokens e force a reautenticação. Reveja as alterações à conta feitas depois do login suspeito, como e-mail, telefone ou dados de pagamento atualizados.
O MFA é fundamental, e não é suficiente por si só. Os atacantes ainda podem abusar de sessões roubadas, de proxies de phishing adversary-in-the-middle e de fluxos de recuperação fracos. Combinar o MFA com sinais ao nível do browser e do dispositivo fecha essas lacunas. A mesma abordagem em camadas sustenta uma defesa contra a apropriação de contas mais ampla, já que o credential stuffing é o caminho mais comum para a ATO.
Onde é que a camada do browser se encaixa?
Utilizadores reais, utilizadores fraudulentos e bots chegam todos ao seu login através de um browser. Isso torna o browser ao mesmo tempo um canal de entrega de código malicioso e uma fonte rica de sinais sobre quem está realmente a fazer login.
Duas realidades ao nível do browser moldam a defesa contra o credential stuffing:
- O browser expõe a automação que a rede esconde. Os browsers furtivos, os runtimes headless, a rotação de fingerprints e o comportamento de agentes de IA são visíveis no ambiente do browser, não num pacote de rede. Ler esses sinais separa os logins por script dos logins humanos.
- O browser pode ser, ele próprio, a superfície de ataque. Um script de terceiros comprometido ou injetado na sua página de login pode roubar credenciais antes de o seu servidor sequer ver o pedido, ou redirecionar os utilizadores para um login falsificado. A monitorização de segurança do lado do cliente apanha a adulteração de scripts que os controlos de rede deixam passar.
A cside é uma plataforma de segurança do lado do cliente, construída para a camada do browser. Combina a deteção de agentes de IA com o fingerprinting de dispositivo e de browser para revelar os sinais da tabela acima, entregando-os depois como sinais em bruto via API, para que as equipas lideradas por developers os possam ligar à sua própria lógica de risco de login e de recuperação. Como a análise está ancorada no browser, apanha os browsers furtivos e os bots de agentes de IA que as ferramentas legadas, focadas apenas na rede, não veem.
O que devem as equipas fazer primeiro?
Não precisa de implementar todos os controlos de uma só vez. Uma sequência prática:
- Ative o bloqueio de palavras-passe comprometidas no registo e na reposição. É de baixo esforço e remove uma grande parte das credenciais utilizáveis.
- Imponha MFA resistente a phishing nos seus logins de maior valor antes de o alargar mais.
- Instrumente o seu login com os sinais de deteção acima e, depois, afine os limiares com base em combinações, e não em regras isoladas.
- Acrescente fingerprinting ao nível do browser e deteção de agentes de IA, para conseguir ver a automação que os sinais de rede deixam passar.
O credential stuffing tem sucesso graças à reutilização de palavras-passe e à automação barata. Combata a primeira com MFA e verificações de palavras-passe comprometidas, e a segunda com limitação de taxa e deteção ao nível do browser.
Para ver os sinais ao nível do browser em ação, marque uma demonstração ou consulte os preços da cside.
