Live-Hotel hat neulich eine PIN-Funktion eingeführt. Diese wurde jedoch prompt durch einen Captcha-Check ersetzt. Bei jedem Login müssen die User nun den bekannten “Ich bin kein Roboter“-Check von Google ausfüllen. Ähnliche Maßnahmen ergreifen in jüngster Zeit auch andere Retro Hotels – zwar nicht konkret in Form eines Captchas, sondern durch eine limitierte Anzahl von Loginversuchen. Wer sich im HuBBa Hotel zu oft mit einem falschen Passwort anzumelden versucht, wird temporär von weiteren Versuchen gesperrt. Auch im Habbo.st ist solch ein Schutzmechanismus eingebaut. Ein Mechanismus, der seit 2020 anscheinend unabdingbar ist, wenn er auch vor 2020 so gut wie gar nicht – wenn überhaupt – eingesetzt wurde. Was macht solche Maßnahmen ausgerechnet heute so nötig?

Brute Force Methode erklärt

Bei einem Brute-Force-Angriff handelt es sich um eine Methode, die versucht Passwörter durch automatisiertes, wahlloses Ausprobieren herauszufinden. Das kann zum Beispiel komplett automatisch geschehen, indem ein Script ausgeführt wird, das zufällige Buchstaben- und Zahlenkombinationen bildet. Eine andere beliebte Art und Weise ist, vorgefertigte Passwortlisten zu verwenden. Diese Passwortlisten enthalten Hunderttausende unverschlüsselte Passwörter. Ein Script, das den Brute-Force-Angriff durchführt, geht dann jedes einzelne der Passwörter in der Liste automatisch durch, und versucht, sich einzuloggen. Wenn man Glück hat, und der Benutzer ein schwaches Passwort wie etwa “123456” verwendet, gelingt der Brute-Force-Angriff nach wenigen Sekunden oder Minuten. Wenn man Pech hat, kann so ein Brute-Force-Angriff auch gerne mal Stunden, Tage, Wochen oder Jahre dauern – rein theoretisch. Je mehr Kombinationen getestet werden, desto höher ist die Erfolgsaussicht. Prinzipiell lässt sich jedes Passwort durch Ausprobieren lösen. Je komplexer das Passwort, umso länger dauert es natürlich.

Wie man sich schützt

Effektiv kann man sich schützen, indem man die Anzahl an Loginversuchen pro IP-Adresse limitiert. Denn wenn nur noch 3 fehlgeschlagene Logins möglich sind, werden auch weitere automatische Abfragen logischerweise geblockt, bis die Sperre aufgehoben wird. So kann man den Angriff deutlich in die Länge bis hin ins Unmögliche ziehen. Perfekt ist die Methode dennoch nicht. Fortgeschrittene Angreifer wissen, Proxys in Rotation zu verwenden, um ihre IP-Adresse kontinuierlich zu ändern. Da solche IP-Adressen meistens auch international sind, hat wohl Habbo.st vorgesorgt und mittels CloudFlare Firewall sämtliche Anfragen außerhalb DE/AT/CH direkt blocken lassen, bevor man überhaupt die Webseite betreten kann. Eine andere Maßnahme, um sich zu schützen, ist die Verwendung eines Captchas, wie es derzeit im Live-Hotel praktiziert wird. Denn nur wenn der Benutzer den Check besteht, wird der Login ausgewertet. Der Nachteil auf dieser Seite ist allerdings: Captchas beanspruchen Zeit und müssen gelöst werden. Den berühmtem Google ReCaptcha dürfte jeder kennen – “Wählen Sie alle Bilder mit einer Ampel”. Auch wenn es nur wenige Sekunden sind, kann sich das in der Summe summieren und manchmal nervig sein. Besser wäre es daher eigentlich, eine bestimmte Anzahl an fehlgeschlagenen Logins zuzulassen und erst ab dann einen Captcha verpflichtend einzuführen – so machen es andere Branchen gängig.

Brute Force Angriffe nehmen zu

Warum werden plötzlich solche Schutzmechanismen eingeführt, wo es doch fast ein Jahrzehnt ohne funktioniert hat? Ein Grund ist zunächst, dass die Technik mit der Zeit voranschreitet. Dementsprechend schreitet auch immer mehr die technische Affinität der User in der Retroszene voran. Heutzutage ist es gar nicht mal mehr so schwer, Brute Force Attacken selbst auszuführen – entsprechende Tutorials gibt es auf YouTube zu genüge. Der wohl bedeutendste Grund ist jedoch, dass mittlerweile Passwörter der User frei in der Szene herum kursieren. So wurde die Habbo.st Datenbank mit 600 Tausend Datensätzen im Jahr 2012 geleakt, und in jüngeren Jahren gerieten unverschlüsselte Passwörter in den Umlauf, weil ein Genie von Hotelbesitzer auf die Idee kam, diese bei der Registrierung in seinem Hotel nicht zu verschlüsseln. RetroTimes berichtete hier, hier und hier. Hat man nun tausende Passwörter in einer Liste, braucht man diese Liste nur bei irgendeinem Hotel und irgendeinem User anzuwenden. Es ist davon auszugehen, dass die meisten Retro User – eben da es sich noch teils um Kinder und Jugendliche handelt – einfache Passwörter verwenden, die man theoretisch schnell erraten kann. Die wenigsten dürften komplexe Passwörter aus komplizierten Zeichenketten verwenden – diese kann man sich ja auch kaum merken. Die Bequemlichkeit birgt Risiken.

So wurde beispielsweise bekannt, dass mittels dieser Methode gelungen ist, in anderen Retro Hotels Accounts zu entwenden, um diese einzusetzen, um zu beispielsweise für das eigene Hotel werben. So werden die Accounts für solche Zwecke missbraucht. In Folge dessen hat auch das HuBBa Hotel nun zeitliche Loginbeschränkungen eingeführt.

Nichts ist besser als eine Zwei Faktor Authentifizierung

Dennoch ist eine Zwei Faktor Authentifizierung wohl der beste Weg zur absoluten Sicherheit. So gelingt einem Angreifer der Login von einem fremden Standort beispielsweise nur durch Zugriff auf E-Mail, Smartphone, PIN oder einer Sicherheitsfrage des eigentlichen Nutzers. So Sicherheitsfragen wurden beispielsweise im Holo Hotel eingesetzt, auch Habbo.st setzt mittlerweile auf Sicherheitsfragen, die man unter Einstellungen einstellen kann – wenn auch nicht verpflichtend. Die Kombination aus Versuchslimitierungen beim Login, einer Captcha Abfrage und einer Zwei Faktor Authentifizierung dürfte daher die wohl beste Sicherheit darstellen. Noch sicherer wäre natürlich, wenn jeder User ein einmaliges Passwort mit mehreren Zeichen und Sonderzeichen wählt, was jedoch unter einigen Gesichtspunkten natürlich nicht realistisch ist. Alles in allem sind wir mittlerweile jedoch auf einen neuen technischen Standard in der Szene angekommen, der schon längst nötig war.