Account oder Credential Stuffing ist ein Angriff, bei dem der Angreifer gestohlene Credentials, meist Nutzername / E-Mail-Adresse und Passwort, auf vielen verschiedenen Webseiten ausprobiert. Dieser Angriff kann durch Tools zur Automatisierung im Webbereich, wie Selenium, curl oder PhantomJS, oder speziellen Tools, wie SNIPR oder STORM, automatisiert werden. Dieser Angriff ist wird dadurch ermöglicht, dass Nutzer häufig ein und dieselbe Nutzername-Passwort-Kombination für viele Dienste verwenden. Eine Abwandlung ist durch die Ausnutzung von Passwort-Patterns, also vorhersagbaren Mustern, möglich.