Captchas in Rekordzeit geknackt: Das sollten Seitenbetreiber jetzt tun
Auch wenn sie nervig sind – Captchas haben eine Schutzfunktion und sollen verhindern, dass Computer („Bots“) missbräuchlich automatische Eingaben auf einer Webseite machen. Algorithmen, die ein Captcha knacken können, gibt es schon länger. Ein neu entwickelter Algorithmus schafft dies allerdings in Millisekunden und macht Captchas somit nutzlos! Hier erfahren Webseitenbetreiber, wie sie sich zukünftig schützen können.
Was sind Captchas?
Die Abkürzung CAPTCHA steht für "Completely Automated Public Turing test to tell Computers and Humans Apart", ein Captcha ist also ein Test zur Unterscheidung zwischen Mensch und Maschine auf Webseiten. Klassische Captchas bestehen aus zufällig angeordneten Zahlen und Buchstaben. Gibt der Nutzer den dargestellten Code richtig ein, so wird die Webseite oder das Formular für ihn freigegeben.
Neben den klassischen textbasierten Captchas gibt es auch solche, bei denen der Nutzer eine einfache Rechenaufgabe lösen muss. Andere Captchas wiederum wollen, dass der User bestimmte Symbole oder Bilder anklickt (beispielsweise alle Bilder, auf denen ein Verkehrsschild zu sehen ist). Damit soll der Nutzer „menschliche Intelligenz“ nachweisen.
Durch Captchas soll also erreicht werden, dass nur „echte“ Menschen und keine Bots Zugriff auf den Inhalt einer Seite oder eines Formulars haben.
Neuere Algorithmus: Captchas in Millisekunden geknackt
Captchas sollen verhindern, dass beispielsweise eine Webseite mit automatisierten Anfragen überhäuft wird und dadurch die Performance der Seite sinkt oder sie komplett lahmgelegt wird wie es zum Beispiel bei einer DDoS-Attacke (Distributed-Denial-of-Service) passiert.
Algorithmen, die ein Captcha knacken können, gibt es schon länger. Allerdings war bisher für einen DDoS-Angriff auf eine Webseite mit Captcha eine hohe Rechenleistung nötig. Im Zeitalter von riesigen Rechenzentren und Cloud-Computing sicherlich machbar, aber kostspielig.
Der neue, von britischen und chinesischen Forschern entwickelte Algorithmus, knackt textbasiere Captchas in Millisekunden und das mit geringerem Aufwand und einer enorm hohen Erfolgsquote! Auf getesteten Webseiten wie Reddit, Paypal oder Megaupload erreichte der Algorithmus laut ZDNet knapp 100 Prozent. Bei Amazon waren es 79 Prozent und bei eBay 87 Prozent.
Das große Problem ist, dass der neue „Machine-Learning-Algorithmus“ so wenig Rechenleistung benötig, dass Cyberkriminelle lediglich einen normalen Desktop-Computer brauchen, um eine Attacke auf eine Webseite zu starten, die durch textbasierte Captchas geschützt ist.
Ein „Machine-Learning-Algorithmus“ ist vereinfacht gesagt eine Art Künstliche Intelligenz (KI). Der Algorithmus sammelt selbständig Daten, analysiert diese und erweitert sich dadurch automatisch. Der Programmierer muss nicht mehr selbst den Algorithmus pflegen sondern der Algorithmus „lernt“ selbst dazu.
Captchas sicherer machen oder Alternative nutzen: So geht`s
Da Captchas also über kurz oder lang ihre Website nicht mehr zuverlässig schützen, sollten Webseitenbetreiber sie sicherer machen oder über Alternativen nachdenken. Hier einige Tipps, was Seitenbetreiber jetzt tun können:
Game-based-Captchas verwenden
Seitenbetreiber, die noch auf textbasierte Captchas setzen, sollten eine andere Lösung wählen. Um es den KI-basierten Bots (Künstliche Intelligenz) so schwer wie möglich zu machen, ein Captcha zu knacken, sollten Webseitenbetreiber auf Captchas setzen, die ein verknüpftes Denken voraussetzen, zum Beispiel durch ein sogenanntes Game-based-Captcha. Hierbei muss der Nutzer ein Minispiel lösen. Denkbar wäre ein grafisches Puzzle, bei dem der Nutzer die fehlenden Teile richtig einsetzen muss.
Eine andere Variante wäre, dass der Nutzer mehrere Ballons nach der Farbe sortieren und via Doppelklick platzen lassen muss. Grundsätzlich gilt: Je mehr Aufgaben der Nutzer gleichzeitig lösen muss, desto sicherer. Nachteil hierbei ist, dass die Usability leidet. Je länger der Nutzer für das Captcha braucht, desto negativer wird seine Erfahrung auf der Webseite.
Video- und Audio-Captchas
Auch ein Captcha mit Videofunktion wäre denkbar. Dazu müsste der Nutzer seine Kamera aktivieren und in sie hineinschauen, während er eine Aufgabe löst. Allerdings ist diese Variante aus datenschutzrechtlicher Sicht sehr bedenklich.
Statt einem visuellen Captcha können auch Audiospuren verwendet werden. Dem Nutzer werden ein paar Zahlen vorgesagt und diese muss er dann in ein Feld eingeben. Nachteile an dieser Lösung: Für User mit eingeschränktem Hörvermögen oder ohne Kopfhörer oder Lautsprecher ist sie nicht anwendbar. Dazu kommt, dass Spracherkennung immer weiterentwickelt wird und auch ein Audio-Captcha irgendwann nicht mehr sicher ist.
„Honey Pot“-Lösung
Eine weitere Möglichkeit für Webseitenbetreiber ist der Einsatz eines sogenannten „Honey Pot“ (Honigtopf). Ein Honey Pot ist beispielsweise eine Tabelle, welche sich im Quellcode einer Seite befindet, für den Nutzer aber unsichtbar ist. Da Bots nicht die visuelle Webseite „sehen“, sondern immer den Quellcode, würde ein Bot die unsichtbare Tabelle automatisiert ausfüllen. Weil ein Mensch dazu gar nicht in der Lage wäre, hat sich der Bot damit selbst verraten und kann von der Webseite blockiert werden. Eine Honey Pot soll also die Bots anlocken und entlarven und bietet gegenüber Captchas den Vorteil, dass die Usability nicht beeinträchtigt wird.
Schützen Sie Ihre Webseite und Ihr Business!
Einen hundertprozentigen Schutz vor Bots und DDoS-Attacken gibt es selbst mit den besten Captchas nicht. Denn auch die Algorithmen der Angreifer werden immer „schlauer“ und Cyberkriminelle immer kreativer. Umso wichtiger ist es, Ihr Business für den Fall eines Cyber-Angriffs umfassend abzusichern. Dafür gibt es bei exali.de mehrere Möglichkeiten:
- Alle Berufshaftpflichtversicherungen über exali.de beinhalten als festen Bestandteil den Versicherungsschutz für Daten- und Cyber-Drittschäden. Das heißt, Sie sind automatisch abgesichert, wenn durch einen Hackerangriff auf Ihr Business bei jemand anderem (zum Beispiel Ihrem Kunden) ein Schaden entsteht (beispielsweise durch den Verlust von Kundendaten).
- Außerdem können Sie den Zusatzbaustein „Datenschutz- & Cyber-Eigenschaden-Deckung“ zu Ihrer Berufshaftpflicht hinzuwählen. Dieser schützt Ihr eigenes Business bei einem Cyberangriff und übernimmt beispielsweise die Kosten für die Wiederherstellung Ihrer IT-Systeme, die Beauftragung von Computer- und Forensik-Spezialisten oder das Krisenmanagement bei Imageschäden.
- Wenn Sie eine eigenstände und flexible Lösung für unterschiedliche Cyber-Risiken wollen, dann ist unsere Cyber-Versicherung als eigenständige Versicherung das Richtige für Sie! Passend zu Ihrem Business können Sie verschiedene Bausteine wählen und sich so Ihre individuelle Cyber-Versicherung zusammenstellen.
© Jan Mörgenthaler – exali AG
Jan Mörgenthaler hat seit 2017 viel mit Freiberuflern und Freiberuflerinnen in verschiedenen TV-Formaten gearbeitet. Er steht regelmäßig vor und hinter der Kamera, kümmerte sich ehrenamtlich um das Marketing eines Gaming Vereins und weiß aufgrund dieser Erfahrungen genau, welche Themen Freelancer umtreiben.
Wenn er bei exali Artikel beisteuert, drehen sich diese meist um IT- und Cyberrisiken.